Q. 1 - Como faço para rastrear tentativas de logon com falha como administrador no meu servidor?
A - se o servidor for exposto à Internet via RDP ou SMB ou algo parecido, você os verá constantemente. Se possível, bloquear portas desnecessárias para a Internet, especialmente aquelas que permitem logon interativo.
Verifique se você está registrando tentativas de logon com falha via GPO em Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas Locais / Política de Auditoria. Você deve habilitar "sucesso e falha" para pelo menos
* Eventos de logon da conta de auditoria.
* Eventos de logon de auditoria
* Acesso a objeto de auditoria
e "falha" para o exame de auditoria * uso privilegiado.
Q. 2 - como faço para rastrear quem está logando como administrador nas estações de trabalho e / ou causando falhas / reinicializações. A. Depois de implementar as configurações de auditoria, você poderá rastrear o IP de origem nos registros.