Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Как предотвратить попытки подбора пароля ? (http://forum.oszone.net/showthread.php?t=272361)

wiznv 19-11-2013 08:39 2257673
Как предотвратить попытки подбора пароля ?
 
ситуация: Winxp+ firewall работает как интернет шлюз и раздавает инет через снадратный общий доступ к сети.
Все последние обновления установлены.RDP отключен,SRP включен, в групповых политиках блокировка на 30 мин учетной записи после трех неправильных попыток включена. файрвол стоит+антивирус. Служба доступа к файлам и принтерам отключена..
НО! В журнале безопасности периодически появляются попытки подобрать пароль под учеткой Administrator, Owner, Admin и т.п.
Вопрос - что я пропустил? Куда эти взломщики подбирают пароль если все отключено(если не все, то что еще ?) ?
p.s.знаю что это ужасный вариант раздачи инета по сети но ситуация такова и пока что могу действовать в этих рамках да и вопрос больше с научной т.з. интересен.

Rezor666 19-11-2013 14:30 2257805
wiznv, Да куда угодно.
Мы телепаты по вашему?

WindowsNT 19-11-2013 16:56 2257893
Покажите снимок экрана с событием. Покажите весь текст события.

wiznv 20-11-2013 13:03 2258423
Цитата:
Цитата WindowsNT
Покажите снимок экрана с событием. Покажите весь текст события. »
См. прикрепленные изображения.

wiznv 20-11-2013 13:05 2258425
Имено это конкретное событие было в большом кол-ве с разницей в несколько секунд. Как, если в групповых политиках стоит блокировка при неправильном вводе пароля??

WindowsNT 20-11-2013 13:44 2258457
Firewall не работает. Тип входа 3 — логон через шаринги. Порты шарингов открыты на внешний мир.
Имеется какая-то причина, по которой у вас не сняты службы Client for Microsoft Network и File and Printer Sharing for Microsoft Network с внешней сетевой карты?

wiznv 20-11-2013 15:20 2258521
Цитата:
Цитата WindowsNT
службы Client for Microsoft Network и File and Printer Sharing for Microsoft Network »
Я написал еще в первом посте что эта служба была отключена..

WindowsNT 20-11-2013 17:48 2258604
От жеж. А откуда тогда тип логона 3?.. Надо ещё подумать.
А это точно снаружи?

Rezor666 20-11-2013 21:38 2258789
WindowsNT, Давайте не будем думать, а просто попросим ТС проверить трафик с помощью wireshark и увидим куда нацелен трафик.

wiznv 21-11-2013 07:41 2258982
Цитата:
Цитата WindowsNT
А это точно снаружи? »
Вот в этом месте у меня возник вопрос - в винде это можно выяснить по журналам?
Цитата:
Цитата Rezor666
Давайте не будем думать, а просто попросим ТС проверить трафик с помощью wireshark и увидим куда нацелен трафик. »
я использовал smartsniff. попытки соединения были на 135 порт...

Rezor666 21-11-2013 10:31 2259057
wiznv, Поставьте нормальный firewall и закройте все порты кроме необходимых.

wiznv 21-11-2013 10:42 2259064
Цитата:
Цитата Rezor666
wiznv, Поставьте нормальный firewall и закройте все порты кроме необходимых. »
Это если не ошибаюсь Microsoft RPC.. нагуглил что уязмисть древняя и вроде как давно есть исправление,но все последние обновления установлены..странно.
порт закрыл.

Rezor666 21-11-2013 11:30 2259089
wiznv, Уязвимость это одно, а подбор пароля совсем другое.
По этому все же лучше посмотрите с помощью wireshark трафик.

wiznv 23-11-2013 09:18 2260294
Цитата:
Цитата Rezor666
о этому все же лучше посмотрите с помощью wireshark трафик. »
Что именно я там должен увидеть? порт знаю, IP знаю..


Время: 10:43.

Время: 10:43.
© OSzone.net 2001-