Eu tenho um servidor Windows 2008R2 que está relatando um fluxo constante de tentativas de logon com falha. Alguém está forçando brutalmente este servidor e não posso dizer de onde. Os EvenIDs acionados são 4625 Abaixo está um exemplo da entrada de auditoria
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: SEMINAR
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name:
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Os registros operacionais do NTLM:
NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked
Calling process PID: 756
Calling process name: C:\Windows\System32\svchost.exe
Calling process LUID: 0x3e4
Calling process user identity: EW2$
Calling process domain identity: ABC
Mechanism OID: (NULL)
O usuário não é um usuário real Informações de rede estão completamente ausentes. Eu registrei todas as mensagens NTLM no log de eventos e não recebi nenhuma informação adicional. Eu não sou experiente o suficiente com monitores de rede para encontrar essa tentativa NTLM.
Eu tentei fechar os perfis de firewall público e privado, as tentativas ainda acontecem.
O que mais posso fazer para rastrear a origem dessas tentativas de login?
Tags windows-server-2008