Truy cập vào tài khoản Quản trị viên từ tên máy tính không xác định

Salve

12:01, 13/01/2023

Trong vài tuần, tất cả các DC của chúng tôi đã nhận được hàng nghìn lần đăng nhập không thành công cho "Quản trị viên". Trình xem sự kiện ghi lại các thông báo bên dưới, LƯU Ý rằng chúng tôi không có máy tính hoặc máy chủ nào trên mạng có tên, chúng có vẻ rất chung chung. Chúng tôi đã cố gắng theo dõi các kết nối nhưng ProcessMonitor, Antimalware, cổng nội bộ, v.v. không hiển thị gì. Bất cứ ai có ý tưởng làm thế nào để theo dõi điều này hơn nữa?

ID sự kiện: 4776 Loại: MẠNG

Tài khoản đăng nhập: Administrator
Nguồn máy trạm: Windows2016
Mã lỗi: 0xc000006a
Máy tính đã cố xác thực thông tin xác thực cho một tài khoản.

Gói xác thực: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Tài khoản đăng nhập: Administrator
Nguồn máy trạm: FreeRDP
Mã lỗi: 0xc000006a
Máy tính đã cố xác thực thông tin xác thực cho một tài khoản.

Gói xác thực: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Tài khoản đăng nhập: Administrator
Nguồn máy trạm: Windows2012
Mã lỗi: 0xc000006a
Máy tính đã cố xác thực thông tin xác thực cho một tài khoản.

Gói xác thực: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Tài khoản đăng nhập: Administrator
Nguồn máy trạm: Windows10
Mã lỗi: 0xc000006a
Máy tính đã cố xác thực thông tin đăng nhập cho một tài khoản.```

127

0 + 0

chia sẻ màn hình

bức tường lửa

Semicolon

14:09, 13/01/2023

Bạn có dịch vụ tích hợp AD nào trên internet? OWA? Máy tính để bàn từ xa?

Hồi đáp

Salve

12:56, 14/01/2023

Theo như tôi biết thì không có gì, đó là lý do tại sao chúng ta cần điều tra xem nó đến từ đâu

Hồi đáp

Alex

07:41, 24/01/2023

Tôi thứ hai ông Semicolon: có vẻ như một số dịch vụ tiếp xúc với Internet đang bị ép buộc. Có thể liên quan đến RDP. Nếu bạn có nhật ký Windows từ máy chủ của mình, hãy thử tìm kiếm các lần đăng nhập không thành công (4625) - trên chính máy chủ đang bị cưỡng bức, lý tưởng nhất là nên có sự kiện như vậy.

Hồi đáp

Điểm:1

Server

Abu Zaid

19:55, 14/01/2023

Bạn có thể chạy Wireshark trên máy chủ, sau đó tìm kiếm lưu lượng Kerberos.Đây sẽ là một cách tiếp cận tốn thời gian nếu bạn có nhiều máy chủ trong Miền.

0 + 0

Salve

14:17, 15/01/2023

Tôi có vài trăm máy chủ và vài nghìn người dùng nên nhật ký Wireshark "nổ tung" nếu tôi không thể cụ thể hơn

Hồi đáp

Abu Zaid

18:01, 15/01/2023

Trong Bộ lọc, loại trừ các Mạng đáng tin cậy của bạn, giả sử bạn có tất cả các máy chủ Sản xuất trong Mạng 10.0.0.0/16, hãy xóa chúng khỏi quá trình chụp. Hoặc làm theo cách khác, bắt đầu với các mạng con nhỏ hơn, sau đó loại trừ từng mạng con một. Nó sẽ không phải là thứ gì đó đơn giản, sẽ mất thời gian và công sức để theo dõi nó qua Wireshark. Bạn sẽ cần lấy dấu thời gian Eventlog, sau đó xem khung thời gian có liên quan trong Wireshark. Nếu bạn có ngân sách, bạn cũng có thể thử các công cụ của bên thứ 3 như ManageEngine có ADAudit Plus, mà bản thân tôi chưa thử cho ID sự kiện này.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Access to Administrator account from unknown computer names

TH: เข้าถึงบัญชีผู้ดูแลระบบจากชื่อคอมพิวเตอร์ที่ไม่รู้จัก

RO: Acces la contul de administrator de la nume de computer necunoscute

RU: Доступ к учетной записи администратора с неизвестных имен компьютеров

VI: Truy cập vào tài khoản Quản trị viên từ tên máy tính không xác định

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.