Доступ к учетной записи администратора с неизвестных имен компьютеров

Salve

13.01.2023, 12:01

За несколько недель все наши ДЦ получили тысячи неудачных входов в систему для «Администратора». Средство просмотра событий регистрирует следующие сообщения: ПРИМЕЧАНИЕ. У нас нет компьютеров или серверов в сети с такими именами, они кажутся очень общими. Мы пытались отследить соединения, но ProcessMonitor, Antimalware, внутренние порты и т. д. ничего не показывают. У кого-нибудь есть идеи, как проследить это дальше?

Идентификатор события: 4776 Тип: СЕТЬ

Учетная запись для входа: Администратор
Исходная рабочая станция: Windows2016
Код ошибки: 0xc000006a
Компьютер попытался проверить учетные данные для учетной записи.

Пакет аутентификации: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись для входа: Администратор
Исходная рабочая станция: FreeRDP
Код ошибки: 0xc000006a
Компьютер попытался проверить учетные данные для учетной записи.

Пакет аутентификации: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись для входа: Администратор
Исходная рабочая станция: Windows2012
Код ошибки: 0xc000006a
Компьютер попытался проверить учетные данные для учетной записи.

Пакет аутентификации: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись для входа: Администратор
Исходная рабочая станция: Windows10
Код ошибки: 0xc000006a
Компьютер попытался проверить учетные данные для учетной записи.```

127

0 + 0

совместное использование экрана

брандмауэр

Semicolon

13.01.2023, 14:09

Какая служба, интегрированная с AD, открыта для Интернета? ОВА? Удаленный рабочий стол?

Ответить

Salve

14.01.2023, 12:56

Насколько я знаю, нет, поэтому нам нужно выяснить, откуда он исходит.

Ответить

Alex

24.01.2023, 07:41

Во-вторых, г-н точка с запятой: это похоже на какой-то доступный в Интернете сервис, который подвергается грубому насилию. Возможно, связано с RDP. Если у вас есть журналы Windows с ваших серверов, попробуйте поискать неудачные попытки входа в систему (4625) — на самом сервере, который подвергается брутфорсу, в идеале должно быть такое событие.

Ответить

Рейтинг:1

Server

Abu Zaid

14.01.2023, 19:55

Вы можете запустить Wireshark на сервере, а затем искать трафик Kerberos.Это займет много времени, если у вас много серверов в домене.

0 + 0

Salve

15.01.2023, 14:17

У меня несколько сотен серверов и несколько тысяч пользователей, поэтому журнал Wireshark «взрывается», если я не могу быть более конкретным.

Ответить

Abu Zaid

15.01.2023, 18:01

В фильтре исключите свои доверенные сети, скажем, у вас есть все производственные серверы в сети 10.0.0.0/16, удалите их из захвата. Или сделайте по-другому, начните с более мелких подсетей, а затем исключайте их одну за другой. Это не будет чем-то простым, потребуется время и усилия, чтобы отследить его с помощью Wireshark. Вам нужно будет взять отметку времени Eventlog, а затем посмотреть соответствующие временные рамки в Wireshark. Если у вас есть бюджет, вы также можете попробовать сторонние инструменты, такие как ManageEngine с ADAudit Plus, которые я не пробовал сам для этого идентификатора события.

Ответить

Admin

Этот вопрос на других языках:

EN: Access to Administrator account from unknown computer names

TH: เข้าถึงบัญชีผู้ดูแลระบบจากชื่อคอมพิวเตอร์ที่ไม่รู้จัก

RO: Acces la contul de administrator de la nume de computer necunoscute

RU: Доступ к учетной записи администратора с неизвестных имен компьютеров

VI: Truy cập vào tài khoản Quản trị viên từ tên máy tính không xác định

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.