[Angry Demon]

Цитата Сержа:

Интересует программа которая не дает сбоев и корректно работает на server 2008 r2 x64. и что бы в ней не было ничего лишнего!

Защита Windows Server 2008 R2 с помощью брандмауэра

[Cruzenshtern]

Сержа, обычным брандмауэром настройте.

[Сержа]

Добрый день!
Брандмауэром настроил (см рис). Проверял с IP которых нет в списке, не пускает, а пускает только с этих 3х IP

Но в журнале все равно фиксируется Аудит отказа с разных IP


Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ADMIN
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: \\58.137.112.204
Сетевой адрес источника: 58.137.112.204
Порт источника: 4602

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.



Подскажите в чем может быть еще косяк.?

[exo]

Цитата Сержа:

Тип входа: 3 »

http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx

Цитата:

3 Сеть Пользователь или компьютер вошли на данный компьютер через сеть.

Цитата:

10 RemoteInteractive Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.

по SMB пытаются зайти. закрывайте 445 порт.
какие роли на сервере?

[Сержа]

exo, роли веб сервера, dns сервера, Удаленных раб столов, Файловые службы.
Да про порт 445 забыл, сейчас буду закрыть и попробую.
Спасибо

[Сержа]

Порт 445 прикрыл!
Аудита отказа почти нет, но раз в час или 3 все равно появляются события с неизвестными IP
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: administrator
Домен учетной записи: W116255251212
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: W116255251212
Сетевой адрес источника: 116.255.251.212
Порт источника: 3885
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0




Что еще можно прикрыть? какой порт!

[exo]

Цитата Сержа:

Порт 445 прикрыл! »

для каких адресов? 116 сеть там есть?

[Сержа]

exo, закрыл всем кроме 3х внешних ip.
116 нет.

В журнале светятся сейчас 2 ip

Тип входа: 3

Сведения о сети:
Имя рабочей станции: W116255192196
Сетевой адрес источника: 116.255.192.196
Порт источника: 4974


Сведения о сети:
Имя рабочей станции: QAWSVR2
Сетевой адрес источника: 97.76.90.21
Порт источника: 1962

раньше ip было куча, теперь 2-3. И Аудит отказа забивал весь журнал, сейчас же только ночью в течении одного двух часов фиксируется Аудит отказа.

[exo]

Цитата Сержа:

сейчас же только ночью в течении одного двух часов фиксируется Аудит отказа. »

может бот какой-то. если учётная запись админа заблокирована - беспокоится не о чем.