ログオン試行-ドメインコントローラー（サーバー2003）のイベントビューアーでの失敗の監査のトン

Question

これは、セキュリティログの下のイベントの外観です。たくさんあります。誰かがネットワークをブルートフォースで攻撃しようとしていますか？このサーバーは、ターミナルサービスサーバーとしても使用されます。

認証チケット要求：

User Name: rosu Supplied Realm Name: my domain User ID: - Service Name: krbtgt/my domain Service ID: - Ticket Options: 0x40810010 Result Code: 0x6 Ticket Encryption Type: - Pre-Authentication Type: - Client Address: 127.0.0.1 Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint:

これで、ユーザーに気付いた場合、このようなイベントごとに..ユーザー名が変更され、日付で並べ替えるとすべてアルファベット順で試行されているように見えます。ここのIPはこのIPの内部にありますが、ほとんどの場合、 213.88.247.2などの外部IP ..イベントの送信元ポートも変更されているようです。別のものを見てください：

ログオン失敗：

Reason: Unknown user name or bad password User Name: rout Domain: my Domain Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate Workstation Name: my Server Hostname Caller User Name: my Server Hostname$ Caller Domain: my Domain Caller Logon ID: (0x0,0x3E7) Caller Process ID: 7576 Transited Services: - Source Network Address: 213.88.247.2 Source Port: 3030

うーん？

Falcon Momot · Accepted Answer

はい、誰かがあなたのサーバーに侵入しようとしています。存在しないユーザーまたは間違ったパスワードでログインが失敗したかどうかを確認する方法があるか、ランダムなユーザー名とランダムなパスワードで攻撃を試みているかのいずれかです。

すべてのユーザーが強力なパスワードを持っていると確信している場合は、これを無視できます。送信元アドレスが数個しかない場合はブロックするか、LANまたはVPNからそのサーバーにのみリモートできるようにネットワークアーキテクチャを変更することもできます。

Samuel Pardee · Answer

私たちのターミナルサーバーは外部に開かれたままで、誰かが辞書攻撃を試みていたと思います。私は外部からのアクセスを遮断します-これはずっと以前に閉鎖されていたはずです。

joeqwerty · Answer

ログオンタイプ10は、リモートインタラクティブログオンの試行です。つまり、これらは外部エンティティからターミナルサービス経由でDCにログオンする試みです。どのようにしてDCに到達できるのでしょうか。

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html