Подозреваю то, что в мой компьютер кто-то сует свой поганый нос через сеть, узнать бы кто. Пользуясь интернет-руководствами — нашлось вот это, но, объяснить самостоятельно — не хватает знаний: Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x31606
GUID входа:
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: —
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: —
Порт источника: —
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: —
Имя пакета (только NTLM):NTLM V1
Длина ключа: 0
Всем привет! Вин сервер 2012, используется как IIS вебсервер, поднято ФТП, СУБД MS SQl. Сегодня заметил в журнале виндовс (безопасность) вот такие записи:
и эти события сыпятся каждые несколько секунд, меняется только: Имя учетной записи: USER2, sklad, Admin и другие.
Что это такое? На брут похоже. Причем началось 3 дня назад.
Всем спасибо. Брутили RDP, в штатном фаерволе в правилах касаемых рдп и фтп в вкладке "область" указал свой IP.
После этого все прекратилось.
Поставил еще эту единственную в своем роде бесплатную программку:
IPBan Monitors failed security audit in Windows Event Viewer and bans ip addresses using netsh. Wide range of customization and unlimited ip address ban count
Features include:
– Unlimited number of ip addresses to ban
– Duration to ban ip address
– Number of failed login attempts before ban
– Whitelist of comma separated ip addresses or regex to never ban
– Blacklist of comma separated ip addresses or regex to always ban
– Custom prefix to windows firewall rules
– Custom keywords, XPath and Regex to parse event viewer logs for failed login attempts
– Refreshes config so no need to restart the service when you change something
– Highly configurable, ban anything that comes through Windows Event Viewer
– A GREAT and FREE (if you install it yourself) alternative to RdpGuard or Syspeace
– Contains configuration to block Remote Desktop attempts, Microsoft SQL Server login attempts and MySQL Server login attempts by default
Идентификатор безопасности (англ. Security Identifier (SID) ) — структура данных переменной длины, которая идентифицирует учётную запись пользователя, группы, службы, домена или компьютера (в Windows на базе технологии NT (NT4, 2000, XP, 2003, Vista,7,8,10)). SID ставится в соответствие каждой учетной записи в момент её создания. Система оперирует с SID’ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID’ы.
Идентификатор SID состоит из нескольких частей. Пример такого идентификатора S-1-5-21-1507001333-1204550764-1011284298-1003.
Формат идентификатора безопасности такой: S-R-IA-SA-SA-R >[1] .
Описание каждой части SID:
- S — идентификатор SID. Этот идентификатор служит признаком того, что следующее число является идентификатором безопасности, а не простым большим загадочным числом.
- R — первое число является номером редакции (revision). Все идентификаторы безопасности, сгенерированные операционной системой Windows, используют номер редакции 1.
- IA — источник выдачи (issuing authority). Практически все идентификаторы безопасности в операционной системе Windows указывают NT Authority номер 5. Исключением являются широкоизвестные (well-known) учетные записи групп и пользователей.
- SA — уполномоченный центр (sub-authority). Этот идентификатор определяет специальные группы и функции. Например, число 21 указывает, что идентификатор безопасности был выдан контроллером домена или изолированным компьютером. Три длинные последовательности цифр 1507001333-1204550764-1011284298 определяют конкретный домен или компьютер, выдавший идентификатор. Эти числа генерируются случайным образом при инсталляции ОС на компьютер. Таким образом обеспечивается уникальность идентификаторов безопасности.
- RID — относительный идентификатор (Relative Identifier). Это уникальное порядковое число, присвоенное учетной записи (пользователя, компьютера или группы) уполномоченным центром SA (в нашем примере его значение равно 1003).
Следует отметить, что относительные идентификаторы RID для встроенных учётных записей пользователей (например, Администратор или Гость) одинаковы для всех компьютеров и доменов. RID для встроенной учетной записи Administrator всегда имеет значение 500, а RID для учетной записи Гость имеет значение 501.
Для создаваемых администратором учетных записей RID начинается со значения 1000 и увеличивается на 1 для каждой новой учетной записи.
Кроме этого, в каждой Windows имеется несколько встроенных широкоизвестных (well-known) учетных записей групп и пользователей. К ним относятся группы Все, ИНТЕРАКТИВНЫЕ, Прошедшие проверку и т.д. Для представления широкоизвестных учетных записей в Windows определен ряд локальных и доменных S >[2] . В отличие от SID обычных пользователей, эти SID-идентификаторы являются предопределенными и имеют одинаковые значения на каждой системе Windows и не зависят от её версии (будь то Windows 2000, Windows Vista или Windows 10). Это позволяет администраторам сетей применять шаблоны безопасности и политики безопасности, а также управлять доступом удаленных пользователей в сетях без доменов.
Например, файл, доступный членам группы Все на той системе, где он был создан, также будет доступен группе Все на любой другой системе или домене. Разумеется, пользователи должны пройти аутентификацию в этой системе, перед тем как стать членами группы Все.