[請益] DC被client嘗試登入失敗

作者qpowjohn (pose)

看板MIS

標題[請益] DC被client嘗試登入失敗

時間Fri Jan 22 09:02:02 2021

各位先進好，有個疑問想請各位確認一下，最近公司有政策要在AD下派發當主機發生4625登入失敗事件時需要通知管理員的規則，實作上已經完成了，這沒有問題，但每天都會看到不特定主機會登入DC，但登入失敗產生4625事件的狀況，從常理來說不合理，但還是要請教一下是否合理我有試著在事件發生當下到client下netstat看port對應的pid，但看到的是system(pid: 4)所發出的，到這邊我就不知道怎麼追下去了… -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.11.70.113 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1611277324.A.E3B.html

推 michaellai: 看client的log 01/22 12:49

→ king1412: 使用者電腦UID有沒有一樣 01/22 19:13

→ qpowjohn: 主要是不知道是哪隻程式在嘗試登入DC 01/22 20:35

→ qpowjohn: 使用者電腦確實有看到localhost to DC 01/22 20:35

→ qpowjohn: 但確實system發起 01/22 20:36

推 lovespre: firewall擋掉3389後看log最快 01/22 23:35

→ cat031147: 網路磁碟機？ 02/01 11:36