Эта команда используется для доступа к удаленным общим ресурсам.
net use \10.31.247.2\share /user:admin password
Есть ли способ обнаружить (журналы событий / другие инструменты), если кто-то пытается внедрить BruteForce в удаленную систему с помощью этого метода? Неправильный пароль не приводит к созданию журналов событий в удаленной системе.
Есть ли какой-либо другой метод доступа к удаленным общим ресурсам, который будет создавать журнал событий в системе, подвергаемой BruteForced?
Да, это так. Посмотрите журнал безопасности на 10.31.247.2 (если сервер рабочей группы) или на эмуляторе PDC (если домен присоединен).
Это приведет либо к событию аудита отказов 675 (win2003), либо к аудиту отказов с идентификатором события от 4768 до 4771, попробуйте отфильтровать журналы безопасности.