MicrosoftHello, thank you very much for the article. Using the powershell code from above i notice there are NTLM-v1 events, looking similar to those with ANONYMOUS LOGON entries, however they are a bit different and i wonder what is causing them. Its always computer names as security id instead of user names:
---
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldeinformationen:
Anmeldetyp: 3
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: MYDOM\SRV1$
Kontoname: SRV1$
Kontodomäne: MYDOM
Anmelde-ID: 0x1A76036B
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: SRV1
Quellnetzwerkadresse: 10.10.5.2
Quellport: 63543
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V1
Schlüssellänge: 128
