Miles de solicitudes de inicio y cierre de sesión en el Visor de eventos de Windows desde una computadora diferente en el mismo dominio


1

Durante el último mes, una computadora que está en el mismo dominio que yo ha estado enviando spam a mi computadora con solicitudes de inicio / cierre de sesión a través de Kerberos. Recibo ~ 4,000 solicitudes en mi computadora al día. Esto incluye dos solicitudes de inicio de sesión, seguidas de dos solicitudes de cierre de sesión. Lo único que cambia entre las solicitudes es el puerto de origen como se detalla a continuación. Sé que esto se puede detener simplemente habilitando mi firewall, pero estoy tratando de descubrir algunos detalles más sobre lo que está sucediendo antes de confrontar a la persona sobre la actividad.

1) Entiendo que este es un servicio automatizado, pero ¿hay alguna forma de decir cuál es el nombre del proceso que está inicializando las solicitudes en la máquina de destino, en lugar de la máquina host?

2) ¿Alguna sugerencia sobre qué programas podrían estar haciendo esto, así que sé lo que estoy buscando?

A continuación se muestra una muestra de los datos que se enumeran en el visor de eventos:

Logon Type:         3

New Logon:
    Security ID:        $Domain\$User
    Account Name:       $User
    Account Domain:     $Domain
    Logon ID:       0x1ca045c
    Logon GUID:     {698cd7b2-a521-4c52-0278-e363b08300ef}      -

Network Information:
    Workstation Name:   
    Source Network Address: --Removed--
    Source Port:        51065

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.