У меня был сервер под 2 брандмауэрами. Один с моего маршрутизатора и один с моего сервера Windows. Доступен был только порт VPN. В последнее время я ежедневно получал неудачные попытки входа в систему с изменением имен пользователей из svchost.exe. Я думал, что это просто запланированная задача, которую не удалось выполнить, поскольку у нее не было данных IP. IAS не настроен, но в нем указано, что идентификатор процесса - IAS. Углубившись в анализ, я обнаружил неудачные попытки входа в систему с IP-адреса, помеченного как вредоносный на нескольких веб-сайтах. Его местонахождение - Россия, и это, безусловно, атака грубой силой. Я хочу знать, какой порт используется и как отправляются запросы, поскольку только локальные IP-адреса могут подключаться к серверу. Порт не указан.