Depuis environ un mois, un ordinateur appartenant au même domaine que moi envoie des demandes de connexion / déconnexion à mon ordinateur via Kerberos. Je reçois environ 4 000 demandes sur mon ordinateur par jour. Cela inclut deux demandes d'ouverture de session, suivies de deux demandes de fermeture de session. La seule chose qui change entre les demandes est le port source, comme indiqué ci-dessous. Je sais que cela peut être arrêté en activant simplement mon pare-feu, mais j'essaie de comprendre un peu plus de détails sur ce qui se passe avant de confronter la personne à propos de l'activité.
1) Je comprends qu’il s’agit d’un service automatisé, mais j’ai un moyen de dire le nom du processus qui initialise les demandes sur la machine cible plutôt que sur la machine hôte?
2) Avez-vous des suggestions quant aux programmes susceptibles de le faire, afin que je sache ce que je recherche?
Vous trouverez ci-dessous un exemple des données répertoriées dans l'afficheur d'événements:
Logon Type: 3
New Logon:
Security ID: $Domain\$User
Account Name: $User
Account Domain: $Domain
Logon ID: 0x1ca045c
Logon GUID: {698cd7b2-a521-4c52-0278-e363b08300ef} -
Network Information:
Workstation Name:
Source Network Address: --Removed--
Source Port: 51065
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0