BVN-2005
31-01-2023, 08:34
Вин 2008R2.
Заблокировались учетные записи пользователей (почти всех, за небольшим исключением).
Вижу массу событий такого вида в течение нескольких секунд:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: SERV-NEW\Igoshev
Имя учетной записи: Admin1
Домен учетной записи: SERV-NEW
Код входа: 0x84e282b
Тип входа: 2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: User1
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x581c
Имя процесса вызывающей стороны: C:\Windows\System32\dllhost.exe
Сведения о сети:
Имя рабочей станции: SERV-NEW
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
После 3-х попыток учетная запись блокируется.
Admin1 и User1 - реальные учетные записи реальных людей. Admin1 вполне мог что-то делать на сервере.
Что это было?
Заблокировались учетные записи пользователей (почти всех, за небольшим исключением).
Вижу массу событий такого вида в течение нескольких секунд:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: SERV-NEW\Igoshev
Имя учетной записи: Admin1
Домен учетной записи: SERV-NEW
Код входа: 0x84e282b
Тип входа: 2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: User1
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x581c
Имя процесса вызывающей стороны: C:\Windows\System32\dllhost.exe
Сведения о сети:
Имя рабочей станции: SERV-NEW
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
После 3-х попыток учетная запись блокируется.
Admin1 и User1 - реальные учетные записи реальных людей. Admin1 вполне мог что-то делать на сервере.
Что это было?