[Leaves]

Добрый день! Хороший вопрос. У меня такие события начались с 26.12. А глянул я на них только сейчас после вашей темы. Но у меня другая проблема. Через RDP на сервер не могу попасть с первого раза. Может зайти со 2-ой может с 10-ой попытки. У вас такие неисправности не наблюдаются?

[Anton04]

Цитата __sa__nya:

В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. »

Если основываться как на данном постулате, то да идёт перебор паролей и учётных записей. Я бы для начала половил эти подключения через NetworkTrafficView и посмотрел кто да и от куда...

[__sa__nya]

Цитата Anton04:

Я бы для начала половил эти подключения через NetworkTrafficView и »

Вопрос какие подключения ловить ? По событиям 4624 из Безопасность, определил, что это не RDP, в событии написано NTLMSsp. А NTLMv2 вся сеть офиса до сервера использует. Офигею с трафике нужную информацию искать. Ниже код ошибки:

Цитата:

Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: АДМИНИСТРАТОР Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

[Anton04]

Цитата __sa__nya:

Вопрос какие подключения ловить ? »

Те подключения которые записываются в систему как неудачный вход. В идеале попробуйте вечером или ночью (когда число включённых машин в сети) минимально. Теоретически нужно сопоставлять по времени появления в логах о неудачном входе с IP/именем от куда было подключение и по какому протоколу порту. Вот так как-то...

[svv03]

У меня тоже выскакивают такие ошибки, никаких хвостов в Windows найти не смог. Поставил Wireshark. Дальше фильтрую трафик (tcp.dstport==3389) и смотрю левые ip-адреса с которых пытаются пройти на сервер. И блокирую их на шлюзе. В Wireshark нужно смотреть в момент попыток подключения левых юзеров.
..