Viele FAILURE AUDIT: Ein Konto, bei dem die Anmeldung fehlgeschlagen ist, wird im Sicherheitsprotokoll angezeigt

8

Ich habe viele Fehlerprüfungen auf meinem Server erhalten. Aus dem Protokoll habe ich die bestimmte Maschine identifiziert, die der Schuldige ist. Wie kann ich feststellen, welcher Prozess die Anmeldeanforderung sendet?

Haben Sie eine Idee, wie Sie es herausfinden können?

Unten finden Sie die Details des Protokolls.

Sicherheitsprotokoll an \ QKSRVDC212:

[2465151] Microsoft-Windows-Security-Auditing

    Type:     FAILURE AUDIT 

    Computer: QKSRVDC212.Corp.abc.com

    Time:     7/26/2012 9:31:00 AM   ID:       4625 

An account failed to log on.
  Subject:
    Security ID:        S-1-0-0
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0
  Logon Type:           3

  Account For Which Logon Failed:
    Security ID:        S-1-0-0
    Account Name:       Quality
    Account Domain:     QDMNT140

  Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

  Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

  Network Information:
    Workstation Name:   QDMNT140
    Source Network Address: 10.1.1.185
    Source Port:        3973

  Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0
Param
quelle

Antworten:

1

Verwenden Sie netstat -ano | findstr 3973auf dem Login-Quellsystem 'QDMNT140', um zu sehen, bei welchem ​​Prozess der passende Quellport '3973' geöffnet ist. Ersetzen Sie 3973 durch den Port, auf den sich der Port ändert, wenn er nicht statisch ist.

Nathan V.
quelle