我每秒都会在安全事件日志中收到审核失败消息。
Event id: 4625
logon type: 3
Process name: lasass.exe
failed login: schOPSSH
COPSSH(SSH for Windows)安装在机器上,其用户是svcOPSSH,而不是schOPSSH。所以,我认为安装的人配置错误,我停止了SSH服务,即使我删除了软件并删除了除admin之外的所有用户,但我仍然使用该用户名进行登录尝试。我检查了所有服务及其凭据,一切都很好。我用用户“schOPSSH”搜索注册表,找不到任何记录。
您是否有任何想法找到此登录尝试的来源?谢谢。
我想到了。就我而言,外部IP遭到暴力攻击。我没想到。我使用MS Network Monitor来检查传入的请求。