Как вычислить программу, которая пытается подобрать пароль администратора?

Windows Server 2008
В терминале работает около 100 пользователей
Периодически в журнале появляется множество записей

Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMINISTRATOR
Исходная рабочая станция:
Код ошибки: 0xc0000064

Подробно
Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          24.03.2023 15:18:29
Код события:   4776
Категория задачи:Проверка учетных данных
Уровень:       Сведения
Ключевые слова:Аудит отказа
Пользователь:  Н/Д
Компьютер:     TerminalNew.rforest.local
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа:	ADMINISTRATOR
Исходная рабочая станция:	
Код ошибки:	0xc0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4776</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>14336</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2023-03-24T12:18:29.848747700Z" />
    <EventRecordID>40204636</EventRecordID>
    <Correlation />
    <Execution ProcessID="976" ThreadID="122172" />
    <Channel>Security</Channel>
    <Computer>TerminalNew.rforest.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
    <Data Name="TargetUserName">ADMINISTRATOR</Data>
    <Data Name="Workstation">
    </Data>
    <Data Name="Status">0xc0000064</Data>
  </EventData>
</Event>


Варьируется только пользователь
ADMINISTRATOR
ADMIN
АДМИНИСТРАТОР

Как по этой информации можно вычислить программу, которая это делает? Или под каким пользователем?
  • Вопрос задан
  • 1803 просмотра
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
А доступ в тырнет у сервера есть?
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@d-stream
Готовые решения - не подаю, но...
Можно воспользоваться "методом сантехника":
- ставим какую-нибудь тулзу типа rdp defender
- устанавливаем бан после 3 неудачных попыток
- носитель зловреда вскоре сам обратится с проблемой "не могу подключиться"

ну или поглядев в лог можно будет оценить массовость явления

p/s/ на время акции желательно свой комп внести в белый список
Ответ написан
Комментировать
@youngMaster
В журнале security не всегда есть IP, посмотрите описание данных попыток в журнале Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы