O Logon Type 10 é um logon interativo remoto, o que significa que alguém está tentando fazer logon via RDP. Você permite conexões RDP ao servidor através do seu firewall?
Em uma edição corporativa do Windows Server 2008, nada mudou, mas recentemente há muitos processos csrss.exe , LogonUI.exe , svchost.exe e winlogon.exe no gerenciador de tarefas.
Isso significa que algumas sessões remotas estão ativas (o servidor está comprometido) ou o quê?
EDITAR:
Eu verifiquei logs de eventos e parece que alguém está tentando fazer logon com Administrator user. Parece uma ferramenta automatizada. Como posso defender (bloquear IP de hackers ...)?
Aqui está o log:
An account failed to log on.
...
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: ...
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: ...
Sub Status: ...
Process Information:
Caller Process ID: ...
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: ...
Source Network Address: ...
Source Port: ...
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
...
Muitos serviços do Windows usam o svchost.exe. Você pode procurar em seu nó services.msc para visualizá-los. Basta clicar duas vezes em alguns dos serviços, como dhcp client ou dns client, para ver o executável que o Windows iniciará para o serviço. Se você estiver preocupado com serviços de terminal ou conexões de área de trabalho remota, pode ir para a guia Usuários no gerenciador de tarefas para ver se há alguém atualmente conectado. Isso funciona apenas para as ferramentas remotas da Microsoft, é claro.