ドメインメンバーサーバーが管理者アカウントの継続的なログイン失敗を引き起こしている
ドメインメンバーサーバーの1つは、ほぼ毎分、継続的なログインエラー(監査ポリシーを介してイベントビューアで検出)を生成し続けます。典型的な障害ログ(名前とIPが難読化されている)は次のとおりです。
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 11/10/2014
Time: 8:44:49 PM
User: NT AUTHORITY\SYSTEM
Computer: MY_SERVER
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: Administrator
Domain: MY_DOMAIN
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: MY_SERVER
Caller User Name: MY_SERVER$
Caller Domain: MY_DOMAIN
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 2548
Transited Services: -
Source Network Address: 1.2.3.4
Source Port: 42985
For more information, see Help and Support Center at http://go.Microsoft.com/fwlink/events.asp.
イライラするのは、これを引き起こしているサービス/プロセスを追跡できないことです。これを追跡するための最良の方法は何ですか?
ログオンタイプ10は「リモートインタラクティブ」です。つまり、誰かがmstsc.exeまたはリモートアシスタンスを使用してリモートデスクトップ/ターミナルサービスセッションを確立しようとするとどうなりますか。
誰かが、ユーザー名Administratorを使用してリモートデスクトップ経由でサーバーにログインし、パスワードを推測しようとしている可能性があります。
MY_SERVERでセキュリティイベントログを表示すると、賢い人がどのIPアドレスから来ているかを確認できます。
これは、「誰かが100日前に管理者として合法的にログインした後、セッションを長時間切断したままにして、管理者のパスワードが変更され、アイドル状態のセッションが管理者として再認証しようとしているという無実のケースである可能性もあります。古いパスワードを使用しています。」