У меня тут ситуация. У меня есть система обнаружения вторжений, и она постоянно предупреждает меня, что удаленный хост получает удаленный доступ к реестру нашей AD.
Наши удаленные хосты - это в основном Windows XP, а наши AD - W2K8. Удаленные хосты получают к ним доступ через порт SMB 445.
Обычно хосты Windows получают доступ к удаленному реестру AD? Мои коллеги подтвердили со мной, что и хост, и AD не заражены вирусами с включенной защитой конечных точек.
Спасибо.
На основе этот документ cisco, клиенты нередко получают доступ к удаленному реестру при нормальном сценарии использования. Однако в нем не перечислены отдельные случаи.
Удаленный реестр может быть вызван следующими причинами (это не в моей голове - не исчерпывающий список)
Можете ли вы найти обидчика? Нет, я не вижу причин для доступа удаленных клиентских машин к реестру контроллеров домена. Для этого удаленное соединение должно быть аутентифицировано с правами администратора домена.