none
Nombreux Event ID 4771 Bad password RRS feed

  • Discussion générale

  • Bonjour,

    J'ai un soucis avec un AD qui remonte un nombre énorme d'event ID 4771, soit disant des utilisateurs qui essayent de se connecter avec un mauvais password. Pour un user je peux avoir facilement 5 tentatives à la même seconde. Pour donner une idée j'ai eu environ 1 800 000 event en 5j sur la partie security. Parfois la  tentative vient du pc de la personne concernée, parfois non. Est-ce que quelqu'un a déjà rencontré ce genre de chose ?

    Merci d'avance,

    Simon

    • Type modifié Emile Supiot lundi 2 novembre 2015 10:37 en attente de retour
    jeudi 29 octobre 2015 17:14

Toutes les réponses

  • Tu as vérifié le PC en question s'il n'a pas de processus bizarre ? scan Antivirus ? événement ?
    jeudi 29 octobre 2015 19:52
    Modérateur
  • Le soucis c'est que ça se passe sur de nombreux PCs, avec beaucoup de comptes différents, et il y a aussi un antivirus partout sur le domaine, ce qui ne signifie pas que c'est pas possible mais ça parait gros...
    vendredi 30 octobre 2015 09:03
  • Dans ce genre de problème, le top c'est de voir les pcs sources et regarder si il y a quelque chose en commun.

    La solution la plus probable est un service qui tourne en fond mais sinon un lecteur reseaux, un script etc...

    Beaucoup de choses à vérifier.

    Si tu l'as sur de nombreux postes, à vérifier si après reboot des postes c'est ok. Apres reboot du DC ? Est ce que c'est l'IP du poste que tu as dans l'audit ou bien l'IP d'un serveur hote RDS? etc

    vendredi 30 octobre 2015 19:24
  • Parfois l'IP du poste, parfois non, ca peut etre depuis un autre poste, un serveur...Les DC ont été reboot.
    lundi 2 novembre 2015 10:41