В Windows Server 2003, когда событие 529 (сбой входа в систему) происходит с типом входа 10 (удаленный вход), исходный сетевой IP-адрес записывается в журнал событий.
На машине с Windows XP это (и некоторые другие детали) опущены.
Если бот пытается применить грубую силу через RDP (некоторые из моих машин XP открыты (и должны быть) открыты с общедоступным IP-адресом), я не могу увидеть исходный IP-адрес, поэтому я не знаю, что заблокировать (с помощью скрипт, который я запускаю каждые несколько минут).
Контроллер домена не регистрирует эту деталь также, когда попытка входа в систему осуществляется на клиентском компьютере xp, а контроллер домена запрашивается только для аутентификации учетных данных.
Любая помощь в получении этой информации в журнале приветствуется.
Описание инструмента Port Reporter Parser (PR-Parser) http://support.microsoft.com/default.aspx?scid=kb;en-us;884289