Доброго всем времени суток! Началось все с того что в один прекрасный день не сработали задачи планировщика по резервному копированию, причиной сбоя была блокировка учетной записи с которой исполнялись задачи. Журнал безопасности был заполнен записями аудита отказа из категории вход в систему из локальной сети(записей овер много 1-3 в секунду). После анализа записей журнала была выявлена машина с которой ломились на сервер а спустя немного времени и процесс который эти попытки осуществлял, а именно служба диспетчера печати. При остановке этой службы все спокойно, новые записи не появляются, службу запускаю снова спам в журнал. Пробовал удалить принтер по этому маршруту, не помогло. А держать службу отключенной тоже не вариант. Подскажите люди добрые куда рыть.

Вот запись аудита отказа  

Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    Код входа:        0x0

Тип входа:            3

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        User2
    Домен учетной записи:        .

Сведения об ошибке:
    Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
    Состояние:            0xc000006d
    Подсостояние:        0xc0000064

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x0
    Имя процесса вызывающей стороны:    -

Сведения о сети:
    Имя рабочей станции:    TEST-W10
    Сетевой адрес источника:    192.168.0.129
    Порт источника:        58489

Сведения о проверке подлинности:
    Процесс входа:        NtLmSsp
    Пакет проверки подлинности:    NTLM
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.