Recentemente, notamos que alguns de nossos servidores estavam recebendo cerca de 2.000 tentativas de login todos os dias. Todos eles usando conta de administrador, apenas com uma senha errada.
Olhando em volta, descobrimos que o RPC de um dos nossos servidores (executando o Windows Server 2012 r2) está tentando esses logins automaticamente. Tentamos bloquear o serviço RPC no firewall, mas não tivemos sucesso.
Todas as opções no RPCSS sobre as contas de logon estão em cinza, então a pergunta é:
O que exatamente está acontecendo? Como posso impedir que o RPCSS faça isso?
Parece um ataque, mas como ele não altera nomes de usuários, apenas tenta usar uma conta, parece que o serviço está fazendo isso.