Sul nostro WS2012 R2, vedo più errori di controllo di accesso 4625. Qualsiasi cosa tra una volta ogni 5 minuti e 5 volte al minuto. I nomi utente che falliscono il tentativo di accesso cambiano frequentemente. Ma sembra che provenga da un elenco di nomi utente comunemente usati (Amministratore, Utente, Test, Vendite, Bob, Stagista, Amministratore2, BOARDROOM, BARBARA, ALAN, COPIER, BACKUP, XEROX, USER1, RECEPTION ecc.). Anche questi tentativi falliti sembrano continuare 24/7.
Dato che siamo una piccola azienda, sono sicuro che questi non sono tentativi legittimi e sono automatizzati.
Di seguito è riportato un registro di esempio della sicurezza dei registri di Windows.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: BOARDROOM
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Ho ragione di temere di essere hackerato? Come posso scoprire da dove provengono questi tentativi di accesso non riusciti e fermarli?