Назад | Перейти на главную страницу

Попытки входа в систему - множество проверок отказов в средстве просмотра событий на контроллере домена (Server 2003)

Вот как выглядит событие в журналах безопасности. Их очень много. Кто-то пытается перебрать сеть? Этот сервер также используется в качестве сервера терминальных служб. Будем признательны за любые советы / помощь.

Запрос билета аутентификации:

User Name:      rosu
Supplied Realm Name:    my domain
User ID:            -
Service Name:       krbtgt/my domain
Service ID:     -
Ticket Options:     0x40810010
Result Code:        0x6
Ticket Encryption Type: -
Pre-Authentication Type:    -
Client Address:     127.0.0.1
Certificate Issuer Name:    
Certificate Serial Number:  
Certificate Thumbprint:

Теперь, если вы заметили пользователя, для каждого такого события ... имя пользователя меняется, и они кажутся попытками в алфавитном порядке, если я отсортирую по дате ... IP здесь внутренний для этого, но для большинства это вне IP, например 213.88.247.2 .. Кажется, порт источника в событии также изменяется. Взгляните на другой:

Ошибка входа в систему:

Reason:     Unknown user name or bad password
User Name:  rout
Domain:     my Domain
Logon Type: 10
Logon Process:  User32  
Authentication Package: Negotiate
Workstation Name:   my Server Hostname
Caller User Name:   my Server Hostname$
Caller Domain:  my Domain
Caller Logon ID:    (0x0,0x3E7)
Caller Process ID:  7576
Transited Services: -
Source Network Address: 213.88.247.2
Source Port:    3030

Хм?

Тип входа 10 - это попытка удаленного интерактивного входа в систему. Так что да, это попытки внешних сущностей войти в DC через службы терминалов. Как они могут добраться до вашего DC?

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

Я думаю, что наш терминальный сервер был оставлен открытым для извне, и кто-то пытался выполнить словарную атаку. Я закрою доступ извне внутрь - это давно должно было быть закрыто.

Да, кто-то пытается проникнуть на ваш сервер. Либо у них есть способ узнать, не удалось ли войти в систему для несуществующего пользователя или неправильный пароль, либо они пытаются атаковать со случайными именами пользователей и случайными паролями.

Если вы уверены, что у всех ваших пользователей есть надежные пароли, вы можете проигнорировать это. Вы также можете заблокировать исходные адреса, если их всего несколько, или изменить сетевую архитектуру так, чтобы вы могли удаленно подключаться к этому серверу только из локальной сети или VPN.