ситуация: Winxp+ firewall работает как интернет шлюз и раздавает инет через снадратный общий доступ к сети.
Все последние обновления установлены.RDP отключен,SRP включен, в групповых политиках блокировка на 30 мин учетной записи после трех неправильных попыток включена. файрвол стоит+антивирус. Служба доступа к файлам и принтерам отключена..
НО! В журнале безопасности периодически появляются попытки подобрать пароль под учеткой Administrator, Owner, Admin и т.п.
Вопрос - что я пропустил? Куда эти взломщики подбирают пароль если все отключено(если не все, то что еще ?) ?
p.s.знаю что это ужасный вариант раздачи инета по сети но ситуация такова и пока что могу действовать в этих рамках да и вопрос больше с научной т.з. интересен.

wiznv, Да куда угодно.
Мы телепаты по вашему?

Покажите снимок экрана с событием. Покажите весь текст события.

Покажите снимок экрана с событием. Покажите весь текст события. »
См. прикрепленные изображения.

Имено это конкретное событие было в большом кол-ве с разницей в несколько секунд. Как, если в групповых политиках стоит блокировка при неправильном вводе пароля??

Firewall не работает. Тип входа 3 — логон через шаринги. Порты шарингов открыты на внешний мир.
Имеется какая-то причина, по которой у вас не сняты службы Client for Microsoft Network и File and Printer Sharing for Microsoft Network с внешней сетевой карты?

службы Client for Microsoft Network и File and Printer Sharing for Microsoft Network »
Я написал еще в первом посте что эта служба была отключена..

От жеж. А откуда тогда тип логона 3?.. Надо ещё подумать.
А это точно снаружи?

WindowsNT, Давайте не будем думать, а просто попросим ТС проверить трафик с помощью wireshark и увидим куда нацелен трафик.

А это точно снаружи? »
Вот в этом месте у меня возник вопрос - в винде это можно выяснить по журналам?
Давайте не будем думать, а просто попросим ТС проверить трафик с помощью wireshark и увидим куда нацелен трафик. »

я использовал smartsniff. попытки соединения были на 135 порт...

wiznv, Поставьте нормальный firewall и закройте все порты кроме необходимых.

wiznv, Поставьте нормальный firewall и закройте все порты кроме необходимых. »
Это если не ошибаюсь Microsoft RPC.. нагуглил что уязмисть древняя и вроде как давно есть исправление,но все последние обновления установлены..странно.
порт закрыл.

wiznv, Уязвимость это одно, а подбор пароля совсем другое.
По этому все же лучше посмотрите с помощью wireshark трафик.

о этому все же лучше посмотрите с помощью wireshark трафик. »
Что именно я там должен увидеть? порт знаю, IP знаю..