AlxItb
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день
недавно заметил что в в журнале безопасности windows 2012 куча сообщений eventid: 4625 типа учетной записи не удалось выполнить вход в систему. А этом если открыть подробности он пишет:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 30.01.2018 16:34:55
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: **********
Описание:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ДИМИТРИЙ
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
имя пользователя постоянно меняется.
Подскажите, как найти с какого ПК идет атака? |
