这就是安全日志下的事件。 他们有很多。 有人试图蛮横迫使networking? 此服务器也被用作terminal服务服务器..感谢任何意见/帮助将不胜感激。
身份validation票证请求:
User Name: rosu Supplied Realm Name: my domain User ID: - Service Name: krbtgt/my domain Service ID: - Ticket Options: 0x40810010 Result Code: 0x6 Ticket Encryption Type: - Pre-Authentication Type: - Client Address: 127.0.0.1 Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint: 现在,如果你注意到用户,对于每一个这样的事件..用户名的变化,他们似乎是所有按字母顺序尝试,如果我按datesorting..这里的IP是内部的这一个,但是对于大多数它是外部IP如213.88.247.2 ..似乎事件的源端口也在变化。 看看另一个:
login失败:
Reason: Unknown user name or bad password User Name: rout Domain: my Domain Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate Workstation Name: my Server Hostname Caller User Name: my Server Hostname$ Caller Domain: my Domain Caller Logon ID: (0x0,0x3E7) Caller Process ID: 7576 Transited Services: - Source Network Address: 213.88.247.2 Source Port: 3030
嗯?
是的,有人试图暴躁地进入你的服务器。 他们有办法告诉用户是不是login失败了,或者用户名和密码是随机的。
如果您确信所有的用户都拥有强大的密码,那么您可以忽略这一点。 你也可以阻止源地址,如果只有less数,或者改变你的networking体系结构,以便你只能从你的局域网或VPN远程访问该服务器。
我认为我们的terminal服务器是敞开的,有人正在尝试字典攻击。 我将closures从外面的访问 – 因为这应该已经很久以前closures了。
logintypes10是远程交互式login尝试。 所以是的,这些都是外部实体通过terminal服务login到DC的企图。 他们怎么能达到你的DC?
http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html