Identificando tentativas de login repetidas e falhas como Administrador na rede Windows

Question

Identificando tentativas de login repetidas e falhas como Administrador na rede Windows

#1 resposta do (3 votos)

2

Eu tenho uma pequena rede com algumas máquinas com Windows XP passando por reinicializações aleatórias. Quando o computador é reiniciado, ele chega ao prompt de login com 'admin' no campo nome de usuário, mesmo que o usuário não tenha feito login como administrador.

Nos meus logs de segurança no servidor (Windows Server 2003) notei várias tentativas de login com falha como Administrador. Isso obviamente não parece bom.

Como posso rastrear e identificar essas tentativas de login? Uma das máquinas tem um anti-vírus desatualizado (mas isso está prestes a mudar enquanto escrevo isto), mas o outro tem regularmente usado e atualizado o Norton.

Existem alguns ataques de rede conhecidos que se parecem com isso?

Além disso, como eu poderia identificar essas tentativas de login da estação de trabalho? Haveria um processo específico em execução?

security login windows-server-2003

por Mr. Shickadance 07.12.2011 / 16:39

1 resposta

Tags security login windows-server-2003

Que política de cache RAID usar? O que são logons anônimos no log de eventos do Windows?

score 3 · Answer 1

Q. 1 - Como faço para rastrear tentativas de logon com falha como administrador no meu servidor? A - se o servidor for exposto à Internet via RDP ou SMB ou algo parecido, você os verá constantemente. Se possível, bloquear portas desnecessárias para a Internet, especialmente aquelas que permitem logon interativo.

Verifique se você está registrando tentativas de logon com falha via GPO em Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas Locais / Política de Auditoria. Você deve habilitar "sucesso e falha" para pelo menos
* Eventos de logon da conta de auditoria.
* Eventos de logon de auditoria
* Acesso a objeto de auditoria

e "falha" para o exame de auditoria * uso privilegiado.

Q. 2 - como faço para rastrear quem está logando como administrador nas estações de trabalho e / ou causando falhas / reinicializações. A. Depois de implementar as configurações de auditoria, você poderá rastrear o IP de origem nos registros.