V
тут либо включать более детальный аудит входов, либо ставить на DC сниффер с влюченным фильтром по пакетам авторизации. имя пользователя есть - ип выкупить можно на раз
Size: a a a
2019 March 26
V
и я бы сразу проверил машину, с которой входит легитимный пользователь данной учетки
V
с какой частотой прилетает это событие?
V
если раз в полчаса, то возможно юзер криво набирает пароль после блокировки
MA
Окей, гляну ещё раз, но вроде там ничего интересного не было.
Evt id 4625, 4648
V
и смотрите в XML представление ошибки. там больше данных
АП
Смотри raw + дополнительный канал создай с активностью этой учётки
АП
Найдешь легитимную машину, отключи её
VL
если в workstation пусто, то либо ип адрес не резолвится в имя, либо в пакете авторизации имя машины не указано. смотрите соседние события. вероятность PS переборщика паролей весьма высока
Тогда просто ip указывается, такое проходили
АП
Посмотри, будут ли идти "кастрированные" события
VL
если раз в полчаса, то возможно юзер криво набирает пароль после блокировки
200 в минуту, потом тишина, минут через 5 повтор. явно в конфигурации где-то накосячили, но где - пока не нашли
PE
200 в минуту, потом тишина, минут через 5 повтор. явно в конфигурации где-то накосячили, но где - пока не нашли
Сервисная учётка?
АП
Pavel Efimov
Сервисная учётка?
Видимо да)
PE
Андрей П
Видимо да)
Тогда тренируем память. ))) где применяли. ))
VL
Админка. Админ не может вспомнить где это было :(
VL
Pavel Efimov
Тогда тренируем память. ))) где применяли. ))
На 50+ хостов и 100+ сервисов - память перестает быть удачным решением :(
PE
Админка. Админ не может вспомнить где это было :(
Извиняюсь, админ не ведет реестр чего и где применял? Он ничего не перепутал? ))
PE
На 50+ хостов и 100+ сервисов - память перестает быть удачным решением :(
А она и не требуеться при документировании должном )) без обид.
VL
Он нормальный админ. Традиционный. Не ведет.
АП
Админка. Админ не может вспомнить где это было :(
Сколько у вас события хранятся? Сделай выгрузку успешных входов данной учётки