AlxItb
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день недавно заметил что в в журнале безопасности windows 2012 куча сообщений eventid: 4625 типа учетной записи не удалось выполнить вход в систему. А этом если открыть подробности он пишет: Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 30.01.2018 16:34:55 Код события: 4625 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: ********** Описание: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: ДИМИТРИЙ Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xC000006D Подсостояние: 0xC0000064 Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 имя пользователя постоянно меняется. Подскажите, как найти с какого ПК идет атака? |