У нас есть 3 виртуальных машины (все с победой 2012 R2), развернутые в Azure. Сегодня я заметил, что с 9 декабря было зарегистрировано несколько сообщений об ошибках входа в систему в журналах безопасности на всех серверах. Похоже, что есть случайные попытки входа в систему. Ниже приведены несколько примеров ошибок. Как видите, имена учетных записей случайны, и ни один из этих пользователей не принадлежит к нашему развертыванию AD. Я не уверен, что это похоже на атаку грубой силы, но меня это беспокоит. Наше программное обеспечение для обнаружения вторжений идентифицировало IP-адреса этих попыток входа в систему и блокировало IP-адреса, поскольку считало это попыткой вторжения. На данный момент заблокировано более 400 IP-адресов. Но меня беспокоит, как я могу навсегда заблокировать эти соединения? Кроме того, каковы недостатки внесения этих IP-адресов в черный список? Буду признателен за любую помощь.
==============================
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: -
Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: идентификатор безопасности: NULL SID Имя учетной записи: BLARSEN
==============
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: -
Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: ИД безопасности: NULL SID Имя учетной записи: Задания
===============
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: -
Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: идентификатор безопасности: NULL SID Имя учетной записи: EDUARDO
Чтобы решить пару вопросов: