作者qpowjohn (pose)
看板MIS
标题[请益] DC被client尝试登入失败
时间Fri Jan 22 09:02:02 2021
各位先进好,
有个疑问想请各位确认一下,
最近公司有政策要在AD下派发当主机发生4625登入失败事件时需要通知管理员的规则,
实作上已经完成了,这没有问题,
但每天都会看到不特定主机会登入DC,但登入失败产生4625事件的状况,
从常理来说不合理,但还是要请教一下是否合理
我有试着在事件发生当下到client下netstat看port对应的pid,
但看到的是system(pid: 4)所发出的,
到这边我就不知道怎麽追下去了…
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 39.11.70.113 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1611277324.A.E3B.html
1F:推 michaellai: 看client的log 01/22 12:49
2F:→ king1412: 使用者电脑UID有没有一样 01/22 19:13
3F:→ qpowjohn: 主要是不知道是哪只程式在尝试登入DC 01/22 20:35
4F:→ qpowjohn: 使用者电脑确实有看到localhost to DC 01/22 20:35
5F:→ qpowjohn: 但确实system发起 01/22 20:36
6F:推 lovespre: firewall挡掉3389後看log最快 01/22 23:35
7F:→ cat031147: 网路磁碟机? 02/01 11:36