各位學長好:
1.今天察看server事件檢示器安全性部分,發現有人嘗試各種使用者名稱及密碼組合想要登入server, 顯示錯誤訊息為
登入失敗:
事件ID:529
原因:使用者名稱不明或密碼錯誤
使用者: xxx
登入類型:3
網域:
登入處理:advapi
驗證封裝:MIcrosoft_Authentication_V1_0
工作站名稱:yyy(server的名字)
2. 自己嘗試重現此失敗行為
(1)使用terminal serveice遠端登入,顯示錯誤訊息中登入類型會為2,登入處理:USER32
(2)server上本機登入,顯示錯誤訊息中登入類型會為2,登入處理:USER32
(3)使用vpn遠端登入,顯示錯誤訊息中登入類型會為3且登入處理:IAS
多無法重現1.之現象
3.想請教學長的是1.之現象是透過何種管道入侵?總得知道入侵管道才有辦法防堵?登入處理:advapi是執行何種登入程式才會由此程式處理?
4. Server安裝windows server 2000 + ISA server 2000