Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Аудит проверки подлинности доступа

Ответить
Настройки темы
2008 R2 - Аудит проверки подлинности доступа

Пользователь


Сообщения: 138
Благодарности: 1

Профиль | Отправить PM | Цитировать

Друзья подскажите как избавиться от я так понимаю брутфорсинга, вот что выдает журнал аудита:
Аудит отказа
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: administrator
Домен учетной записи: *****

Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc000006d
Подсостояние: 0xc000006d

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 192.168.10.25
Порт источника: 51583

Сведения о проверке подлинности:
Процесс входа: WDIGEST
Пакет проверки подлинности: WDigest
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

И такого ОООчень много.

Отправлено: 18:12, 31-08-2015

 

Пользователь


Сообщения: 138
Благодарности: 1

Профиль | Отправить PM | Цитировать

microsoft network monitor сканирует активность на интерфейсах, воспользовался программой и нашел одного нигодяя который пытается найти слабое место сервера чтоб выйти погулять Лог:
Скрытый текст
Ipv4: Src = 192.168.10.31, Dest = 192.168.10.25, Next Protocol = TCP, Packet ID = 4122, Total IP Length = 132
Tcp: Flags=...AP..., SrcPort=61792, DstPort=Microsoft-DS(445), PayloadLen=92, Seq=1352547916 - 1352548008, Ack=3628037477, Win=16425

Собственно если кто подскажет как решить проблему с ломящимся компом на сервер буду благодарен.

Отправлено: 10:53, 17-09-2015 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для User001

Ветеран


Сообщения: 740
Благодарности: 116

Профиль | Отправить PM | Цитировать

Цитата D.NeeZ_K:
microsoft network monitor »
У вас и так написан адрес станции в
Цитата D.NeeZ_K:
Сетевой адрес источника: 192.168.10.25 »

Цитата D.NeeZ_K:
как решить проблему с ломящимся компом на сервер »
Настройте межсетевой экран на сервере.

Дойдите до этого "компа" и выясните почему он так делает.

Отправлено: 11:06, 17-09-2015 | #3


ИО Капитана Очевидности


Contributor


Сообщения: 5387
Благодарности: 1105

Профиль | Отправить PM | Цитировать

Цитата D.NeeZ_K:
Src = 192.168.10.31, Dest = 192.168.10.25 »
Компьютеры в одной локальной сети.

Узнайте, чей это компьютер, затем проведите проверку компьютера антивирусом и проверку пользователя директором

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Отправлено: 03:57, 18-09-2015 | #4


Пользователь


Сообщения: 138
Благодарности: 1

Профиль | Отправить PM | Цитировать

Цитата El Scorpio:
Компьютеры в одной локальной сети.
Узнайте, чей это компьютер, затем проведите проверку компьютера антивирусом и проверку пользователя директором »
При помощи этой же самой программы пытался понять что так без осознанно действует на сервер, то одна программа то другая, удалил, потом когда она начал выдавать службы тут пришлось остановиться, выключил этот ПК и пакеты пошли с другого ПК. Что за ерунда происходит вообще в голове не укладывается.

Отправлено: 07:55, 18-09-2015 | #5


ИО Капитана Очевидности


Contributor


Сообщения: 5387
Благодарности: 1105

Профиль | Отправить PM | Цитировать

Цитата D.NeeZ_K:
При помощи этой же самой программы пытался понять что так без осознанно действует на сервер, то одна программа то другая, удалил, потом когда она начал выдавать службы тут пришлось остановиться, выключил этот ПК и пакеты пошли с другого ПК. Что за ерунда происходит вообще в голове не укладывается. »
Поздравляю. У вас в сети завёлся бот-нет.

Делайте полную проверку всех компьютеров. Желательно с загрузкой LiveCD и физическим отключением линии.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Отправлено: 08:03, 18-09-2015 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Аудит проверки подлинности доступа

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Удаленый компьютертребует проверки подлинности на уровне сети postmaster81 Windows Server 2008/2008 R2 4 23-07-2013 14:28
Система безопасности обнаружила ошибку проверки подлинности сервера cifs fox-nn Microsoft Windows NT/2000/2003 6 27-06-2011 21:39
Microsoft по-тихому свернула программу проверки подлинности Office OSZone News Новости и события Microsoft 0 20-12-2010 13:30
[решено] Изменение настроек подключений проверки подлинности IEEE 802.1X по локальной сети. an99dre AutoIt 8 29-03-2010 00:26
[решено] Тихая установка обновленного internet explorer 7 (в котором нет проверки подлинности) metalruler Автоматическая установка приложений 4 16-11-2007 18:38


« Предыдущая тема | Следующая тема »


 
Переход