Как найти источник ошибки аудита на сервере Windows?

Question

Как найти источник ошибки аудита на сервере Windows?

Я получаю сообщения об ошибках аудита в журналах событий безопасности каждую секунду.

Event id: 4625
logon type: 3
Process name: lasass.exe
failed login: schOPSSH

COPSSH (SSH для Windows) был установлен на машине, и его пользователь был svcOPSSH, а не schOPSSH. Итак, я подумал, что человек, который установил, неправильно настроил его, я остановил службу SSH, даже я удалил программное обеспечение и удалил всех пользователей, кроме администратора, но я все еще получаю попытки входа в систему с этим именем пользователя. Я проверил все услуги и их учетные данные, все было в порядке. Я ищу в реестре пользователя "schOPSSH", не могу найти ни одной записи.

У вас есть идея найти источник этой попытки входа? Благодарю.

-2

windows-server-2012 logon-failed

Источник

user1874316 24 авг '18 в 13:42

1 ответ

Другие вопросы по тегам windows-server-2012 logon-failed

user1874316 25 авг '18 в 13:44 2018-08-25 13:44 · Answer 1 · 2018-08-25 13:44

Я понял. В моем случае это была атака грубой силы с внешнего IP. Я этого не ожидал. Я использовал MS Network Monitor для проверки входящих запросов.

0

Источник

user1874316 25 авг '18 в 13:44