Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Попытка проникновения или нет

Ответить
Настройки темы
Попытка проникновения или нет

Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать

Помогите кто нибудь ситуация такая
Сетка 30 компов на всех WinXP Prof
3 Сервера Терминалов Win2003 R2 с недавнего времени начали появлятся левые временные лицензии на 2 серверах
Переустановил 2 Сервера Терминалов какоето время все нормально было а вчера опять на 2 левые временные лицензии
На всех 3 серверах выделенные IP в интернет маршрутизация только локальной сети netbios отключен
Сеть без домена.
В журнале вот что
------------------------------------
Создание процесса:
Код нового процесса: 2888
Имя файла образа: C:\WINDOWS\system32\csrss.exe
Код создателя процесса: 400
Пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)

--------------------------------------------------------------------------
Создание процесса:
Код нового процесса: 1552
Имя файла образа: C:\WINDOWS\system32\winlogon.exe
Код создателя процесса: 400
Пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)
-------------------------------------------------------------------------
Вызов привилегированной службы:
Сервер: NT Local Security Authority / Authentication Service
Служба: LsaRegisterLogonProcess()
Основной пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)
Пользователь-клиент: SERVER02$
Домен клиента: GRANIIT
Код входа клиента: (0x0,0x3E7)
Привилегии: SeTcbPrivilege
--------------------------------------------------------------------------
Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему.

Процесс входа в систему: Winlogon\MSGina
--------------------------------------------------------------------------
Вызов привилегированной службы:
Сервер: NT Local Security Authority / Authentication Service
Служба: LsaRegisterLogonProcess()
Основной пользователь: SERVER02$
Домен: GRANIIT
Код входа: (0x0,0x3E7)
Пользователь-клиент: SERVER02$
Домен клиента: GRANIIT
Код входа клиента: (0x0,0x3E7)
Привилегии: SeTcbPrivilege
---------------------------------------------------------------------------
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: administrator
Домен: SERVER02
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: SERVER02
Имя вызывающего пользователя: SERVER02$
Домен вызывающего: GRANIIT
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 1552
Промежуточные службы: -
Адрес сети источника: 91.178.112.92
Порт источника: 20132
---------------------------------------------------------------------------
Эти записи в журнале соответствуют времени выдачи лицензии сервером терминалов
Помогите пожалуйста.

Отправлено: 14:57, 29-03-2010

 

Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

Цитата Vagac:
Рабочая станция: SERVER02 »
Где этот сервер находится? Вход в терминал напрямую через Интернет? Какова сложность паролей пользователей?

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Отправлено: 16:23, 29-03-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать

Где этот сервер находится? Не понял что значит где.
Вход в терминал из внутренней сети
И 1 из интернета
Пароли простые

Отправлено: 16:30, 29-03-2010 | #3


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать

Цитата Vagac:
Пароли простые »
Советую таки усложнить пароли. И создать "fake" учетку с именем "administrator", а настоящего переименовать.
А лицензии выдаются, только если пользователь сумел залогиниться

Отправлено: 19:53, 29-03-2010 | #4


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать

И создать "fake" учетку с именем "administrator" У меня так и сделано
Менять пароль ко всем учеткам это гемор собсттвенно мне необходимо только одному IP разрешить потключение из интернета а как это сделать не знаю?

Отправлено: 23:44, 29-03-2010 | #5


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать

Цитата Vagac:
мне необходимо только одному IP разрешить потключение из интернета а как это сделать не знаю? »
Плохо, а что такое брандмауэр знаете?

Отправлено: 00:13, 30-03-2010 | #6


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать

Что такое брандмауэр знаю он выключен
Как настроить его в службе маршрутизации и удаленного доступа на 1 IP разобратся не смог
Сейчас на 2 серверах на интерфейсах "Интернет" вообще отключил порт 3389 а на 3 не могу
Бухгалтеру из дома нужен доступ как разрешить доступ с только с его IP не знаю забыл пояснить

Появляются левые именно временные лицензии в оснастке "Лицензирование сервера терминалов"
"Временные лицензии для Маркер клиентской лицензии (CAL) сервера терминалов Windows Server 2003 (на устройство)" в "Windows Server 2003-TS Per Device CaL" они не переходят.

Отправлено: 11:44, 30-03-2010 | #7


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать

Может кто нибудь все таки поможет разобраться проблема не исчезла сменил IP Адрес на сервере на интерфейсе который в инет смотрит, переустанавливал удалял сервер терминалов ставил его вновь сносил на клиентах в реестре "MSLicensing" на сервере удалял папку "%systemdrive%\system32\lserver" !
Временные лицензии все равно начали появляться в журнале событий вот что
----------------------------------------------------------------------------------------------------------------------
Тип события: Аудит отказов
Источник события: Security
Категория события: Вход/выход
Код события: 529
Дата: 16.08.2010
Время: 11:10:53
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: COMP04
Описание:
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: admin
Домен: COMP04
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: COMP04
Имя вызывающего пользователя: COMP04$
Домен вызывающего: GRANIIT
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 2992
Промежуточные службы: -
Адрес сети источника: 94.158.188.198
Порт источника: 3758


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
------------------------------------------------------------------------------------------------------------------------
Что делать то ПОМОГИТЕ!!!!!!!!!!!

Отправлено: 13:24, 16-08-2010 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Попытка проникновения или нет

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Вопрос - вирус или нет alex_cent Защита компьютерных систем 6 11-03-2009 11:56
БП Рабочий или НЕТ? Павел130887 Непонятные проблемы с Железом 5 27-08-2008 20:42
[решено] Как защититься от проникновения в ПК по локальной сети? yatsen Защита компьютерных систем 13 13-01-2008 23:30
проблема после проникновения вируса Bondy Хочу все знать 23 30-12-2007 13:50
Можно или нет Guest Общий по Linux 15 11-07-2003 20:38


« Предыдущая тема | Следующая тема »


 
Переход