none
一直被不明帳號的來源者在嘗試登入 RRS feed

  • 問題

  •  

    請教各位

     

    我的Server一直都被不名人士在嘗試登入,雖然我已經在開始 → 程式集 → 系統管理工具 → 網域安全性原則 → 安全性設定 → 帳戶原則 → 帳戶鎖定原則 這裡將帳戶鎖定閾值帳戶鎖定時間都有設定做限制了,但是還是被人一直在try,且不明來源者try久了,也發現了我設定的帳戶鎖定閾值的次數和帳戶鎖定時間,所以它就在我還沒到達我設定的限制時就停手,然後過了間隔時間後,就又一直try、一直try。

     

    而且在事件檢視器看到的安全性報告,發現它根本沒有來源IP,請問各位該如何去檔掉它或阻止它???

    我擔心它一直在亂try,真怕給它try出什麼明堂。

     

    以下是事件檢視器完整的安全性紀錄:

     

    來源:Security

    事件識別碼:529

     

    登入失敗:
      原因: 使用者名稱不明或密碼錯誤
      使用者名稱: abc (它的名稱常常在變)
      網域:  
      登入類型: 3
      登入處理: Advapi
      驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
      工作站名稱: COMPANY-SITE
      呼叫者使用者名稱: COMPANY-SITE$
      呼叫者網域: ABC (這裡它用的竟然是我公司的網域!!??)
      呼叫者登入識別碼: (0x0,0x3E7)
      呼叫者處理識別碼: 1924
      轉送的服務: -
      來源網路位址: -
      來源連接埠: -

     

    麻煩各位先進幫幫忙了,謝謝。

     

    附註:我的Server是SBS 2003 R2,我知道社群討論區有SBS的專門討論區,但是我之前有在那裡問過類似這次的相關問題,但未獲得幫助解決,故來此請教各位先進。麻煩各位了。

    2008年11月24日 上午 02:34

所有回覆

  • 2008年11月24日 上午 02:45
    版主
  •  AskaSu 寫信:

    希望找到的這篇文章能對你有幫助
    Web Technology Blog - Unknown username or bad password - InetInfo.exe – ADVAPI

     

     

    您好

    我看了這篇文章

    看起來跟我目前的情況不大相同,呼叫者處理識別碼也不一樣

    目前是有人一直嘗試想登入公司伺服器,來源沒顯示IP

    而且名稱永遠都用一樣的,每隔幾天都嘗試登入一次,直到錯誤次數超過設定的值,才被封鎖

    我真的很想直接封鎖它的IP,但是就是沒顯示IP

    請問還有其他方式可以封鎖跟防範這個問題嗎???

    2008年12月5日 上午 09:25
  •  

    局域网中有没有以 COMPANY-SITE 命名的计算机?

     

    2008年12月5日 下午 01:54
  • 哈,之前我的Exchange OWA也是被別人一直打,從安全的事件檢視器也是一直出現這種東西,問題是對方是用合法的方式對你做驗證,如果用偽冒的IP光透過 Microsoft本身的Solution 似乎有些不足吧。

    我是搭配 Cisco ASA 5510 然後啟動安全防護機制來解決這個問題,當然你如果有 ISA 透過Publish 也可以啦....

    如果來自內部攻擊的話,透過網路封包擷取的方式似乎比較好...反正比對安全檢視器與網路封包的存取,很快兇手就可以抓到了

     

    2008年12月8日 上午 03:42