web-dev-qa-db-ja.com

ログオン試行-ドメインコントローラー(サーバー2003)のイベントビューアーでの失敗の監査のトン

これは、セキュリティログの下のイベントの外観です。たくさんあります。誰かがネットワークをブルートフォースで攻撃しようとしていますか?このサーバーは、ターミナルサービスサーバーとしても使用されます。

認証チケット要求:

User Name:      rosu
Supplied Realm Name:    my domain
User ID:            -
Service Name:       krbtgt/my domain
Service ID:     -
Ticket Options:     0x40810010
Result Code:        0x6
Ticket Encryption Type: -
Pre-Authentication Type:    -
Client Address:     127.0.0.1
Certificate Issuer Name:    
Certificate Serial Number:  
Certificate Thumbprint:

これで、ユーザーに気付いた場合、このようなイベントごとに..ユーザー名が変更され、日付で並べ替えるとすべてアルファベット順で試行されているように見えます。ここのIPはこのIPの内部にありますが、ほとんどの場合、 213.88.247.2などの外部IP ..イベントの送信元ポートも変更されているようです。別のものを見てください:

ログオン失敗:

Reason:     Unknown user name or bad password
User Name:  rout
Domain:     my Domain
Logon Type: 10
Logon Process:  User32  
Authentication Package: Negotiate
Workstation Name:   my Server Hostname
Caller User Name:   my Server Hostname$
Caller Domain:  my Domain
Caller Logon ID:    (0x0,0x3E7)
Caller Process ID:  7576
Transited Services: -
Source Network Address: 213.88.247.2
Source Port:    3030

うーん?

2
Samuel Pardee

はい、誰かがあなたのサーバーに侵入しようとしています。存在しないユーザーまたは間違ったパスワードでログインが失敗したかどうかを確認する方法があるか、ランダムなユーザー名とランダムなパスワードで攻撃を試みているかのいずれかです。

すべてのユーザーが強力なパスワードを持っていると確信している場合は、これを無視できます。送信元アドレスが数個しかない場合はブロックするか、LANまたはVPNからそのサーバーにのみリモートできるようにネットワークアーキテクチャを変更することもできます。

1
Falcon Momot

私たちのターミナルサーバーは外部に開かれたままで、誰かが辞書攻撃を試みていたと思います。私は外部からのアクセスを遮断します-これはずっと以前に閉鎖されていたはずです。

1
Samuel Pardee

ログオンタイプ10は、リモートインタラクティブログオンの試行です。つまり、これらは外部エンティティからターミナルサービス経由でDCにログオンする試みです。どのようにしてDCに到達できるのでしょうか。

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

1
joeqwerty