![]() |
Аудит проверки подлинности доступа
Друзья подскажите как избавиться от я так понимаю брутфорсинга, вот что выдает журнал аудита:
Аудит отказа
Учетной записи не удалось выполнить вход в систему.
Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: administrator Домен учетной записи: ***** Сведения об ошибке: Причина ошибки: Ошибка при входе. Состояние: 0xc000006d Подсостояние: 0xc000006d Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: 192.168.10.25 Порт источника: 51583 Сведения о проверке подлинности: Процесс входа: WDIGEST Пакет проверки подлинности: WDigest Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался. И такого ОООчень много. |
microsoft network monitor сканирует активность на интерфейсах, воспользовался программой и нашел одного нигодяя который пытается найти слабое место сервера чтоб выйти погулять Лог:
Скрытый текст
Ipv4: Src = 192.168.10.31, Dest = 192.168.10.25, Next Protocol = TCP, Packet ID = 4122, Total IP Length = 132
Tcp: Flags=...AP..., SrcPort=61792, DstPort=Microsoft-DS(445), PayloadLen=92, Seq=1352547916 - 1352548008, Ack=3628037477, Win=16425 Собственно если кто подскажет как решить проблему с ломящимся компом на сервер буду благодарен. |
Цитата:
Цитата:
Цитата:
Дойдите до этого "компа" и выясните почему он так делает. |
Цитата:
Узнайте, чей это компьютер, затем проведите проверку компьютера антивирусом и проверку пользователя директором :) |
Цитата:
|
Цитата:
Делайте полную проверку всех компьютеров. Желательно с загрузкой LiveCD и физическим отключением линии. |
Время: 15:19. |
Время: 15:19.
© OSzone.net 2001-