我有一个小型networking与几个Windows XP机器遇到随机重新启动。 当计算机重新启动时,即使用户没有以pipe理员身份login,也会在用户名字段中使用“admin”login提示符。
在我的服务器(Windows Server 2003)的安全日志中,我注意到许多以pipe理员身份login尝试失败。 这显然不好看。
我如何追踪和识别这些login尝试? 其中一台机器有一个过时的防病毒软件(但是我打字的时候就要改变了),但是另外一台机器经常使用和更新诺顿。
有一些这样的networking攻击吗?
另外,我怎么能从工作站识别这些login尝试? 会有一个特定的进程在运行吗?
问:1,如何在服务器上以pipe理员身份跟踪login尝试失败? A – 如果服务器通过RDP或SMB等暴露于互联网,您将不断看到这些信息。 如果可能的话阻止不必要的端口到互联网,特别是那些允许交互式login的端口。
确保您在计算机configuration – >策略 – > Windows设置 – >安全设置 – >本地策略/审核策略下通过GPOlogginglogin尝试失败。 你至less应该启用“成功与失败”
*审计帐户login事件。
*审核login事件
*审计对象访问
和“失败”
*审计特权使用。
问题2 – 如何跟踪在工作站上以pipe理员身份login的人员和/或导致崩溃/重新引导。
答:一旦你推出审计设置,你应该能够在日志中追踪源IP。