Вот как выглядит событие в журналах безопасности. Их очень много. Кто-то пытается перебрать сеть? Этот сервер также используется в качестве сервера терминальных служб. Будем признательны за любые советы / помощь.
Запрос билета аутентификации:
User Name: rosu
Supplied Realm Name: my domain
User ID: -
Service Name: krbtgt/my domain
Service ID: -
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: -
Pre-Authentication Type: -
Client Address: 127.0.0.1
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Теперь, если вы заметили пользователя, для каждого такого события ... имя пользователя меняется, и они кажутся попытками в алфавитном порядке, если я отсортирую по дате ... IP здесь внутренний для этого, но для большинства это вне IP, например 213.88.247.2 .. Кажется, порт источника в событии также изменяется. Взгляните на другой:
Ошибка входа в систему:
Reason: Unknown user name or bad password
User Name: rout
Domain: my Domain
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: my Server Hostname
Caller User Name: my Server Hostname$
Caller Domain: my Domain
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 7576
Transited Services: -
Source Network Address: 213.88.247.2
Source Port: 3030
Хм?
Тип входа 10 - это попытка удаленного интерактивного входа в систему. Так что да, это попытки внешних сущностей войти в DC через службы терминалов. Как они могут добраться до вашего DC?
http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html
Я думаю, что наш терминальный сервер был оставлен открытым для извне, и кто-то пытался выполнить словарную атаку. Я закрою доступ извне внутрь - это давно должно было быть закрыто.
Да, кто-то пытается проникнуть на ваш сервер. Либо у них есть способ узнать, не удалось ли войти в систему для несуществующего пользователя или неправильный пароль, либо они пытаются атаковать со случайными именами пользователей и случайными паролями.
Если вы уверены, что у всех ваших пользователей есть надежные пароли, вы можете проигнорировать это. Вы также можете заблокировать исходные адреса, если их всего несколько, или изменить сетевую архитектуру так, чтобы вы могли удаленно подключаться к этому серверу только из локальной сети или VPN.