作者qpowjohn (pose)
看板MIS
標題[請益] DC被client嘗試登入失敗
時間Fri Jan 22 09:02:02 2021
各位先進好,
有個疑問想請各位確認一下,
最近公司有政策要在AD下派發當主機發生4625登入失敗事件時需要通知管理員的規則,
實作上已經完成了,這沒有問題,
但每天都會看到不特定主機會登入DC,但登入失敗產生4625事件的狀況,
從常理來說不合理,但還是要請教一下是否合理
我有試著在事件發生當下到client下netstat看port對應的pid,
但看到的是system(pid: 4)所發出的,
到這邊我就不知道怎麼追下去了…
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.11.70.113 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1611277324.A.E3B.html
推 michaellai: 看client的log 01/22 12:49
→ king1412: 使用者電腦UID有沒有一樣 01/22 19:13
→ qpowjohn: 主要是不知道是哪隻程式在嘗試登入DC 01/22 20:35
→ qpowjohn: 使用者電腦確實有看到localhost to DC 01/22 20:35
→ qpowjohn: 但確實system發起 01/22 20:36
推 lovespre: firewall擋掉3389後看log最快 01/22 23:35
→ cat031147: 網路磁碟機? 02/01 11:36