Cześć! Mam problem z blokowaniem kont w domenie. Przejąłem środowisko po byłym adminie, który skonfigurował wiele rzeczy nie pozostawiając po sobie żadnej dokumentacji, w związku z czym będę wdzięczny za jakiekolwiek wskazówki.
Moja domena wymusza zmianę hasła raz na 30 dni. Jeden z użytkowników po ostatniej zmianie hasła, co chwila zostaje zablokowany. Wyglada to tak, jakby jakaś usługa dobijała się do domeny za pomocą jego poświadczeń. Chciałbym namierzyć tę usługę/komputer, nie jest to jednak takie proste, gdyż log dziennika zdarzeń systemowych wygląda tak:

1.png1477×746 157 KB

Wczoraj wyczyściłem log by był bardziej przejrzysty, były tam jedynie wpisy z 2018 i 2019, dalej nic. Gwarantuję, że wczoraj do domeny logowało się co najmniej 1000 osób, niestety w logach po tym ani śladu.
Zasady grupy w Default Domain Controllers Policy wyglądają następująco, ale mam wrażenie, że pomimo braku konfiguracji w tym miejscu, logowania i tak powinny być odnotowywane przez kontrolery domeny?

2.png1376×706 216 KB

Kontrolery w niniejszej domenie sa dwa, na obu sytuacja wygląda jednak tak samo. Czy macie może jakiś pomysł gdzie mogę szukać wpisów o zdarzeniach logowania?
Z góry bardzo dziękuję za pomoc!
Pozdrawiam i życzę miłego weekendu.

Masz złe wrażenie.

Zobacz co mniej więcej i jak audytować w tym zakresie:

“Logowań” w domenie jest dużo. Logują się konta komputerów i usługi. Inspekcja audytów logowania domyślnie nie jest pełna. To zaszłość historyczna. Tutaj odpowiedni STIG:

Bardzo dziękuję Wam za odpowiedzi! Udało się ustawić dziennik zdarzeń do logowania pożądanych zdarzeń i… tym efektem mam 20 MB logów na 7 minut Dzięki!

Egzekli. Dużo