Я получаю сообщения об ошибках аудита в журналах событий безопасности каждую секунду.
Event id: 4625
logon type: 3
Process name: lasass.exe
failed login: schOPSSH
COPSSH (SSH для Windows) был установлен на машине, и его пользователь был svcOPSSH, а не schOPSSH.Итак, я подумал, что человек, который установил, неправильно настроил его, я остановил службу SSH, даже я удалил программное обеспечение и удалил всех пользователей, кроме администратора, но я все еще получаю попытки входа в систему с этим именем пользователя.Я проверил все услуги и его учетные данные, все было в порядке.Я ищу в реестре пользователя "schOPSSH", не могу найти ни одной записи.
У вас есть идея, чтобы найти источник этой попытки входа в систему?Спасибо.