Windows身份验证日志中不寻常的设备名称- JCIFS

Question

我看过几篇有类似主机名的文章，但我似乎找不到确切的原因。

我们已经看到一些Windows安全日志(来自DC)链接到帐户的锁定；主机不是我们通常的格式，但格式如下：

JCIFS0_11_5C

有没有人看过这些，可能会暴露出来吗？

用户是通过VPN连接进来的，所以想知道这是否会引起问题。

谢谢!

Answer 1

JCIFS是通过SMB(Samba)连接到Windows资产的JAVA组件。

如果您看到这是来自一个锁定事件，那么很可能是某个Linux系统(设备？)配置为使用最有可能更改密码的特定凭据进行身份验证/授权。某些进程在某一时刻被配置为这样做。

我对JCIFS并不十分熟悉，但我看到了与您完全相同的问题，还注意到机器名称与JCIFS后面跟着数字，在我的例子中，数字是9_10_80。经过广泛的故障排除后，发现该问题是一个带有IP X.X.9.10的RedHat系统，它试图使用密码重置的帐户导致锁定。因此，在我的例子中，9_10似乎是最后两个八位数。