web-dev-qa-db-ja.com

管理者アカウントはロックアウトされ続けます。ソースをトレースできません

管理者アカウントはロックアウトされ続けます。イベントログとNetlogonログは、アカウントがロックアウトされていることを確認しますが、ソースコンピューター名が提供されていません(空白です)。以下のスクリーンショットは、イベントログとNetlogonログのものです。アカウントのロックアウトの原因を見つけるにはどうすればよいですか?ありがとう!

enter image description hereenter image description here

2
rb195048

ローカルセキュリティポリシーでNTLM監査をオンにすることで、問題を解決できました。 (ローカルセキュリティポリシー\ローカルポリシー\セキュリティオプション\ NTLM監査の制限)

攻撃者がRDP認証をブルートフォースしてアクセスしようとしたようです。 NTLMから、RDPにアクセスできるコンピューターの名前がわかり、ロックダウンすることで問題を解決できました。

1
rb195048

Netmonパケットキャプチャを実行し、イベントログエントリをキャプチャ内の接続試行と関連付けます。

0
Greg Askew