none
「コンピューターがアカウントの資格情報の確認を試行しました」が大量に記録されている RRS feed

  • 質問

  • グループポリシーのセキュリティ監査で、すべて「失敗時を有効」にするようにしてみて初めて気がついたのですが、アカウント名の総当たりを食らってるとしか思えないセキュリティログに遭遇しした。


    コンピューターがアカウントの資格情報の確認を試行しました。

    認証パッケージ:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    ログオン アカウント:    michael
    ソース ワークステーション:    Workstation
    エラー コード:    0xC0000064


    数秒~数分おきに、「michael」の部分だけが違うだけで、延々繰り返されています。
    ちなみに社内に「Workstation」などという名前のクライアントは存在しません。

    資格情報の確認を試行したワークステーションのIPアドレスなり、特定する手段はありませんでしょうか。

    あと、このログが落ちるのは、社内のLAN上のWindowsパソコンからの要求のみなのか、ExchangeServer(OWA)等の、インターネット側に公開しているサービス経由でもありえるのか、どういうタイミングでしょうか。

    インターネット側へは、ExchangeServerのほか、WEBサービス、FTPサービス、VPN(IPSec)等を公開しており、主に社員が社内で使ってるADアカウントを使って外から接続できるようになっており、せめてIPアドレスが分からないと手の施しようがないのです。

    2017年4月7日 5:02