Windows Server 2008 R2 - Entrée d'audit infructueuse

J'ai eu un problème de mise en place d'un audit sur le serveur pour identifier des tentatives de connexion infructueuses et réussies.

Ce matin, nous avons découvert l'une de nos machines de test avec une connexion étrange sur l'écran verrouillé. Ce n'est certainement pas un utilisateur qui existe dans notre domaine. L'utilisateur qui a vu qu'il ait dû redémarrer l'ordinateur pour entrer dans le système. J'en ai appris que plus tard, alors je ne pouvais donc pas voir un écran bloqué. On m'a demandé de mener une enquête, mais tout ce que j'ai trouvé sur le client concerné et que le contrôleur de domaine était très vague entrées de journal:

Viewer de l'événement client:

Magazine TerminalServices-RemoteConnectionManager:

Auditeur RDP-Tcp A reçu

Journal de sécurité:

Pas d'enregistrements


Depuis lors, j'ai apporté des changements. Dans la politique du contrôleur de domaine, j'ai inclus un audit d'événements de connexion au compte et audit des événements de connexion.
https://serverfault.com/questi ... ctory
A également suivi des directives supplémentaires du même flux dans lesquelles j'ai inclus les événements de changement Active Directory.

C'est ici que je vérifie maintenant la visionneuse d'événements sur le contrôleur de domaine dans les journaux de sécurité:

Une erreur d'audit contenant le nom du compte et l'heure. ID d'événement: 4771, code d'erreur 0x18, Type de pré-authentification: 2.

Basé sur ceci
https://www.ultimatewindowssec ... D4771
Je le vois à cause du mauvais mot de passe. Mais il ne dit pas où l'entrée ou quelle voiture distante a été effectuée.

Si je saisi le mot de passe correct, il créera un événement avec un identifiant 4768, dans lequel il dit que le billet d'authentification a été demandé Kerberos, Sans code de résultat. Dans les messages suivants sur une entrée réussie du système, il n'y a rien.

Comment puis-je l'écrire dans mes magazines pour suivre le problème si elle se répète dans le futur?

Résumé, je dois voir tous les tentatives entreprises, réussies et infructueuses d'entrer dans le réseau. J'espère que je peux réduire ces magazines à l'adresse IP cible pour afficher uniquement des magazines liés à la machine qui est suspectée de piratage. Est-ce possible sans outils supplémentaires / Logiciel?
Invité:

Pour répondre aux questions, connectez-vous ou registre