Отследить источник события 4771: предварительная аутентификация Kerberos не удалась
Некоторые процессы на удаленном сервере генерируют неудачные попытки входа в систему для определенной учетной записи пользователя. Я хочу знать, что это за процесс.
Данная учетная запись начала генерировать попытки ввода неверного пароля (4771, код ошибки: 0x18) сразу после того, как пользователь изменил свой пароль. Я предполагаю, что некоторые утилиты, службы или приложения используют кэшированные учетные данные, чтобы попытаться подключиться к домену. Я не могу отследить процесс, хотя.
Я включил отслеживание процесса аудита (создание процесса, завершение и т. Д.), Но нет соответствующего процесса, который запускается в момент регистрации ошибки входа.
С событием 4771 не связано имя процесса или идентификатор. Единственное, что у меня есть, это связанный порт. Но порт является произвольным (т. Е. Динамическим) и отличается для каждого зарегистрированного события.
Сбои входа в систему носят периодический характер, примерно один раз в 2-5 часов, поэтому запуск procmon в течение такого долгого времени не особенно практичен, но это может быть мой единственный вариант (подход грубой силы, если хотите). Есть ли способ лучше?
1 ответ
Это сложно, тем более что событие 4771 из Windows не содержит идентификатора входа. Удивительно, насколько сложно это отследить, учитывая, сколько событий регистрирует Windows.
Вы смотрели на запланированные задания?
То, что я бы порекомендовал, это мониторинг процессов, но включить только мониторинг сетевой активности. Я думаю, что вы также можете уменьшить влияние на производительность системы, уменьшив глубину истории (Опции - Глубина истории). Если вы затем коррелируете событие с результатами мониторинга процесса, вы узнаете, какой процесс ответственен.