Durante el último mes, una computadora que está en el mismo dominio que yo ha estado enviando spam a mi computadora con solicitudes de inicio / cierre de sesión a través de Kerberos. Recibo ~ 4,000 solicitudes en mi computadora al día. Esto incluye dos solicitudes de inicio de sesión, seguidas de dos solicitudes de cierre de sesión. Lo único que cambia entre las solicitudes es el puerto de origen como se detalla a continuación. Sé que esto se puede detener simplemente habilitando mi firewall, pero estoy tratando de descubrir algunos detalles más sobre lo que está sucediendo antes de confrontar a la persona sobre la actividad.
1) Entiendo que este es un servicio automatizado, pero ¿hay alguna forma de decir cuál es el nombre del proceso que está inicializando las solicitudes en la máquina de destino, en lugar de la máquina host?
2) ¿Alguna sugerencia sobre qué programas podrían estar haciendo esto, así que sé lo que estoy buscando?
A continuación se muestra una muestra de los datos que se enumeran en el visor de eventos:
Logon Type: 3
New Logon:
Security ID: $Domain\$User
Account Name: $User
Account Domain: $Domain
Logon ID: 0x1ca045c
Logon GUID: {698cd7b2-a521-4c52-0278-e363b08300ef} -
Network Information:
Workstation Name:
Source Network Address: --Removed--
Source Port: 51065
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0