Tekrarlanan, başarısız oturum açma girişimlerini Windows ağında Yönetici olarak belirleme

Rasgele yeniden başlatmalar yaşayan Windows XP makinelerinin bulunduğu küçük bir ağım var. Bilgisayar yeniden başlatıldığında, kullanıcı yönetici olarak giriş yapmamış olsa bile, kullanıcı adı alanında 'admin' ile giriş istemine gelir.

Sunucudaki güvenlik günlüklerimde (Windows Server 2003) Yönetici olarak bir çok başarısız oturum açma girişimi fark ettim. Bu belli ki iyi görünmüyor.

Bu giriş denemelerini nasıl izleyebilir ve tanımlayabilirim? Makinelerden biri eski bir virüsten koruma yazılımına sahip (ancak bunu yazdıkça değişmek üzere), ancak diğeri düzenli olarak Norton kullanıyor ve güncelliyor.

Bunun gibi görünen ağ saldırılarını bilen var mı?

Ayrıca, bu oturum açma girişimlerini iş istasyonundan nasıl belirleyebilirim? Çalışan belirli bir işlem olur mu?

S. 1 - başarısız oturum açma girişimlerini sunucumda yönetici olarak nasıl izlerim? A - eğer sunucu internete RDP veya SMB ile maruz kalırsa veya benzerlerini sürekli olarak göreceksiniz. Mümkünse Internet'e gereksiz bağlantı noktalarını özellikle etkileşimli oturum açmaya izin verenleri engelleyin.

Bilgisayar Yapılandırması -> İlkeler -> Windows Ayarları -> Güvenlik Ayarları -> Yerel İlkeler / Denetim İlkesi altındaki GPO üzerinden başarısız oturum açma girişimlerini günlüğe kaydettiğinizden emin olun. En azından
* Hesap Denetim oturum açma olayları için "başarı ve başarısızlık" özelliğini etkinleştirmelisiniz .
* Oturum açma olaylarını
denetleme * Denetim nesnesi erişimi

ve "başarısızlık" için
* Denetim ayrıcalığı kullanımı.

S. 2 - İş istasyonlarında kimlerin yönetici olarak giriş yaptığını ve / veya çökmelere / yeniden başlatmalara neden olduğunu nasıl izlerim?
A. Denetim ayarlarını bir kez başlattıktan sonra günlüklerdeki kaynak IP'yi takip edebilmelisiniz.