Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Попытка проникновения или нет (http://forum.oszone.net/showthread.php?t=171615)

Vagac 29-03-2010 14:57 1379847
Попытка проникновения или нет
 
Помогите кто нибудь ситуация такая
Сетка 30 компов на всех WinXP Prof
3 Сервера Терминалов Win2003 R2 с недавнего времени начали появлятся левые временные лицензии на 2 серверах
Переустановил 2 Сервера Терминалов какоето время все нормально было а вчера опять на 2 левые временные лицензии
На всех 3 серверах выделенные IP в интернет маршрутизация только локальной сети netbios отключен
Сеть без домена.
В журнале вот что
------------------------------------
Создание процесса:
Код нового процесса: 2888
Имя файла образа: C:\WINDOWS\system32\csrss.exe
Код создателя процесса: 400
Пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)

--------------------------------------------------------------------------
Создание процесса:
Код нового процесса: 1552
Имя файла образа: C:\WINDOWS\system32\winlogon.exe
Код создателя процесса: 400
Пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)
-------------------------------------------------------------------------
Вызов привилегированной службы:
Сервер: NT Local Security Authority / Authentication Service
Служба: LsaRegisterLogonProcess()
Основной пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)
Пользователь-клиент: SERVER02$
Домен клиента: GRANIIT
Код входа клиента: (0x0,0x3E7)
Привилегии: SeTcbPrivilege
--------------------------------------------------------------------------
Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему.

Процесс входа в систему: Winlogon\MSGina
--------------------------------------------------------------------------
Вызов привилегированной службы:
Сервер: NT Local Security Authority / Authentication Service
Служба: LsaRegisterLogonProcess()
Основной пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)
Пользователь-клиент: SERVER02$
Домен клиента: GRANIIT
Код входа клиента: (0x0,0x3E7)
Привилегии: SeTcbPrivilege
---------------------------------------------------------------------------
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: administrator
Домен: SERVER02
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: SERVER02
Имя вызывающего пользователя: SERVER02$
Домен вызывающего: GRANIIT
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 1552
Промежуточные службы: -
Адрес сети источника: 91.178.112.92
Порт источника: 20132
---------------------------------------------------------------------------
Эти записи в журнале соответствуют времени выдачи лицензии сервером терминалов
Помогите пожалуйста.

monkkey 29-03-2010 16:23 1379919
Цитата:
Цитата Vagac
Рабочая станция: SERVER02 »
Где этот сервер находится? Вход в терминал напрямую через Интернет? Какова сложность паролей пользователей?

Vagac 29-03-2010 16:30 1379927
Где этот сервер находится? Не понял что значит где.
Вход в терминал из внутренней сети
И 1 из интернета
Пароли простые

Ivan Bardeen 29-03-2010 19:53 1380090
Цитата:
Цитата Vagac
Пароли простые »
Советую таки усложнить пароли. И создать "fake" учетку с именем "administrator", а настоящего переименовать.
А лицензии выдаются, только если пользователь сумел залогиниться

Vagac 29-03-2010 23:44 1380252
И создать "fake" учетку с именем "administrator" У меня так и сделано
Менять пароль ко всем учеткам это гемор собсттвенно мне необходимо только одному IP разрешить потключение из интернета а как это сделать не знаю?

Ivan Bardeen 30-03-2010 00:13 1380282
Цитата:
Цитата Vagac
мне необходимо только одному IP разрешить потключение из интернета а как это сделать не знаю? »
Плохо, а что такое брандмауэр знаете?

Vagac 30-03-2010 11:44 1380529
Что такое брандмауэр знаю он выключен
Как настроить его в службе маршрутизации и удаленного доступа на 1 IP разобратся не смог
Сейчас на 2 серверах на интерфейсах "Интернет" вообще отключил порт 3389 а на 3 не могу
Бухгалтеру из дома нужен доступ как разрешить доступ с только с его IP не знаю забыл пояснить

Появляются левые именно временные лицензии в оснастке "Лицензирование сервера терминалов"
"Временные лицензии для Маркер клиентской лицензии (CAL) сервера терминалов Windows Server 2003 (на устройство)" в "Windows Server 2003-TS Per Device CaL" они не переходят.

Vagac 16-08-2010 13:24 1474709
Может кто нибудь все таки поможет разобраться проблема не исчезла сменил IP Адрес на сервере на интерфейсе который в инет смотрит, переустанавливал удалял сервер терминалов ставил его вновь сносил на клиентах в реестре "MSLicensing" на сервере удалял папку "%systemdrive%\system32\lserver" !
Временные лицензии все равно начали появляться в журнале событий вот что
----------------------------------------------------------------------------------------------------------------------
Тип события: Аудит отказов
Источник события: Security
Категория события: Вход/выход
Код события: 529
Дата: 16.08.2010
Время: 11:10:53
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: COMP04
Описание:
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: admin
Домен: COMP04
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: COMP04
Имя вызывающего пользователя: COMP04$
Домен вызывающего: GRANIIT
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 2992
Промежуточные службы: -
Адрес сети источника: 94.158.188.198
Порт источника: 3758


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
------------------------------------------------------------------------------------------------------------------------
Что делать то ПОМОГИТЕ!!!!!!!!!!!


Время: 19:11.

Время: 19:11.
© OSzone.net 2001-