У меня небольшая сеть с парой компьютеров с Windows XP, на которых происходят случайные перезагрузки. Когда компьютер перезагружается, он доходит до приглашения входа в систему с «admin» в поле имени пользователя, даже если пользователь не вошел в систему как admin.
В моих журналах безопасности на сервере (Windows Server 2003) я заметил много неудачных попыток входа в систему в качестве администратора. Это явно не выглядит хорошо.
Как я могу отследить и идентифицировать эти попытки входа в систему? На одной из машин установлен устаревший антивирус (но это скоро изменится, когда я напечатаю это), но другая регулярно использует и обновляет Norton.
Есть ли какие-нибудь известные сетевые атаки, которые выглядят так?
Кроме того, как я мог идентифицировать эти попытки входа в систему с рабочей станции? Будет ли запущен конкретный процесс?
В. 1 - как отследить неудачные попытки входа в систему с правами администратора на моем сервере? A - если сервер подключен к Интернету через RDP, SMB или тому подобное, вы будете видеть это постоянно. Если возможно, заблокируйте ненужные порты для выхода в Интернет, особенно те, которые позволяют интерактивный вход в систему.
Убедитесь, что вы регистрируете неудачные попытки входа в систему через GPO в разделе Computer Config -> Policies -> Windows Settings -> Security Settings -> Local Policies / Audit Policy. Вы должны включить "успехи и неудачи" хотя бы на
* Аудит событий входа в учетную запись.
* Аудит событий входа в систему
* Аудит доступа к объекту
и «провал» для
* Аудит использования привилегий.
Вопрос 2 - как мне отследить, кто входит в систему как администратор на рабочих станциях и / или вызывает сбои / перезагрузки.
A. После того, как вы развернете настройки аудита, вы сможете отслеживать IP-адрес источника в журналах.