|
Неизвестный источник попыток входа на сервер
Доброго всем времени суток.
Есть Windows 2012 R2 Standard север (без домена). На нем с периодичностью раз в 3-5 секунд валятся в лог безопасности события: Содержимое лога
Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: USER9 Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xC000006D Подсостояние: 0xC0000064 Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Больше всего смущает, что тип входа сетевой, а сведения о сети отсутствуют. Сервер не я настраивал, меня попросили его "посмотреть". Саму сеть я не вижу, только удаленный доступ. Из того, что уже определил: - встроенная учетка администратора переименована, пароль криптостойкий. - обновления включены и установлены до актуального состояния. - firewall включен и настроен на стандартные сетевые службы: - сетевое обнаружение - файловый сервер - сервер удаленного рабочего стола. Помогите пожалуйста разобраться, в причинах подобного явления, чтобы устранить их. Спасибо. |
Цитата:
Судя по тому что у Вас не указан IP источника можно сделать вывод, что сервер у Вас стоит за роутером. Рекомендации: минимум сменить стандартный RDP порт на роутере на не стандартный, т.е. настроить типа WAN порт 60123 пробросить на IP сервера порт 3389. Рекомендации максимум, использовать VPN или посредник подключения к RDP. |
Цитата:
Убрал правило проброса портов, настроил VPN - события продолжают появляться в логах, только частота их заметно снизилась и появились еще одни: Журнал событий
Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Уровень олицетворения: Олицетворение Новый вход: ИД безопасности: АНОНИМНЫЙ ВХОД Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x167156C GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: WIN-CBDILLR25RB Сетевой адрес источника: fe80::bca2:d1a7:4453:7d6f Порт источника: 56903 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 |
Цитата:
|
Цитата:
Сканирование на вирусы положительного результата не выявило. |
Цитата:
|
Candyman, попробуйте спросить в разделе http://forum.oszone.net/forum-87.html — выполнив требования http://forum.oszone.net/thread-98169.html
|
Анализ на вирусы результатов так и не дал.
Решение не найдено. Тему закрываю... |
| Время: 12:35. |
Время: 12:35.
© OSzone.net 2001-