Numerosi tentativi di accesso rilevati da una macchina interna al controller di dominio della directory attiva

0

Recentemente abbiamo identificato numerosi tentativi di accesso da una macchina interna al controller di dominio della directory attiva. I tentativi sono diretti all'account dell'amministratore del dominio.

Come risposta iniziale, abbiamo verificato se ci fosse qualche malware sul computer host che stava iniziando questi tentativi, ma una scansione dal nostro AV non ha restituito alcun risultato. Subito dopo abbiamo controllato l'elenco dei programmi installati sulla macchina e tutto era come previsto per l'implementazione standard su una macchina utente. Inoltre, per verificare se esistesse o meno uno strumento automatico, ho modificato l'IP della macchina e lo ho ricollegato alla rete effettuando l'accesso al dominio e disconnettendo il dominio, mantenendolo connesso alla rete. In entrambi i casi, l'unico traffico osservato era una singola connessione IPC $ al DC Active Directory. Non ci sono stati tentativi di accesso.

Come posso rilevare cosa ha causato i tentativi di accesso multipli?

    
posta Security Enthusiast 19.07.2016 - 15:00
fonte

1 risposta

1

Commento migrato a una risposta in quanto dovrebbe indirizzare verso il basso il percorso corretto.

Primo determina il tipo di errore

  • Questi errori di pre-autorizzazione Kerberos (ID evento: 4771)

o

  • Errori effettivi di tentativo di accesso (ID evento: 4776)?

Quindi identifica la specifica causa di errore

  • Visualizza l'avviso e identifica il codice esadecimale che spiega l'errore.

Quindi cerca qui:

risposta data 19.07.2016 - 15:52
fonte

Leggi altre domande sui tag