Windowsログでソースワークステーションが空です。それを見つける方法は?

0

まず、この質問に間違ったスレッドを選択した場合はお詫び申し上げます。

ドメインと呼ばれるアカウントで、DCでログインに失敗することが多くあります。つまり、明らかにユーザ名の代わりに、誰かがそこにドメイン名を付けます。そして、ログイン失敗の原因を突き止め、それを修正しようとしています。

下記のWindowsエラーメッセージをご覧ください。 

> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security    Source=Microsoft-Windows-Security-Auditing   
> Computer=my_domain_controller.mydomain.local    User=    Domain=    EventID=4625   
> EventIDCode=4625    EventType=16    EventCategory=12544   
> RecordNumber=1496134876135    TimeGenerated=1496134771119   
> TimeWritten=1496134771119    Message=An account failed to log on.   
> Subject:   Security ID:  S-1-0-0   Account Name:  -   Account Domain: 
> -   Logon ID:  0x0    Logon Type:   3    Account For Which Logon Failed:   Security ID:  S-1-0-0   Account Name:  mydomain   Account
> Domain:      Failure Information:   Failure Reason:  %%2313   Status: 
> 0xc000006d   Sub Status:  0xc0000064    Process Information:   Caller
> Process ID: 0x0   Caller Process Name: -    Network Information:  
> Workstation Name:    Source Network Address: -   Source Port:  -   
> Detailed Authentication Information:   Logon Process:  NtLmSsp   
> Authentication Package: NTLM   Transited Services: -   Package Name
> (NTLM only): -   Key Length:  0



> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security    Source=Microsoft-Windows-Security-Auditing   
> Computer=my_domain_controller.mydomain.local    User=    Domain=    EventID=4776   
> EventIDCode=4776    EventType=16    EventCategory=14336   
> RecordNumber=1496134876135    TimeGenerated=1496134775413   
> TimeWritten=1496134775413    Message=The computer attempted to
> validate the credentials for an account.    Authentication Package:
> MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  Logon Account: mydomain 
> Source Workstation:   Error Code: 0xc0000064

このログでは、送信元IPはDCのIPです(ただし、問題ありません)。しかし、「ワークステーション名」は空です。ただし、ログオンの種類:3は、ネットワークログオンであることを示します。だから私はそれがどこから来たのか見つけることができませんでした。

私はそれがSSL / TLS上のRDP接続であるかもしれないと思いました、しかしこの場合、NTLMは使用されるべきではありません。あれは正しいですか?

それともIISを介した認証の試みでしょうか。しかし、なぜ私はあまり情報がないのでしょうか?

それとも…それがどうなるのか、どうやって止めるのか私にはよくわかりません。

追加の監査方針によって、ここでより多くの情報が得られる可能性がありますか。

追加の "NTLM監査"を有効にします、それは私にもっと多くの情報を与えるかもしれません。

何かアドバイス?

authentication  windows 
computer.domain.comは何ですか?
申し訳ありませんが、DC名であることは指定していません。
そして、ワークステーションのIPを知るだけでは十分ではありませんか?
それはDCのIPアドレスだけです。ワークステーションのIPがわかりません。
A、私は今それを理解しているので、あなたはそれをログに隠しませんでした。難読化されたログで何かを見つけるのは難しいです...
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.