Доброго времени суток, уважаемые коллеги.
Недавно заметил во вкладке Server Manager\All Servers\Events большое количество сообщений.
| DC-01 |
12294 |
Error |
Microsoft-Windows-Directory-Services-SAM |
System |
|
Разобравшись что именно значит данная ошибка я установил lockoutstatus и увидел что попытки блокировок были на всех серверах. Я зашел в Event Viewer и увидел огромное количество попыток авторизоваться под разными логинами, которые
не имею никакого отношения к нашей инфраструктуре.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: АДМИНИСТРАТОР
Source Workstation:
Error Code: 0xC0000064
При это пытают авторизоваться как под уч. записью "ADMINISTRATOR" так и "АДМИНИСТРАТОР","АДМИН","ADMIN".
Как вычислить откуда исходит угроза?
