Я играю с новым сервером Win2008 R2, установленным и размещенным в сети с прямым подключением к сети (т.е. без отдельного брандмауэра перед ним).
Предполагается, что сервер заблокирован только с включенным RDP. Это новая установка, без установленного программного обеспечения или включенных ролей / функций (кроме RDP). Но примерно за 30 дней было 29 000 неудачных попыток входа в систему, но я был удивлен, увидев много «успешных».
Что такое анонимный вход, пример ниже? Я должен быть обеспокоен?
Имя и IP-адрес рабочей станции часто меняются. Из 29 000 неудачных попыток похоже, что боты / хакеры пытаются угадать пароль администратора.
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 28/10/2011 04:45:11
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: WIN-7I8SE0K3F9M
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x376b6c
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: SRV001
Source Network Address: 77.39.106.68
Source Port: 1242
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 0
Проверьте эту статью: http://www.morgantechspace.com/2013/10/event-4624-null-sid-repeated-security.html