Таинственные попытки входа на сервер Windows
У меня есть сервер Windows 2008R2, который сообщает о неудачных попытках входа с нескольких рабочих станций в нашей сети. Некоторые подробности журнала событий:
Код события 4625, Статус: 0xc000006d, Дополнительный статус: 0xc0000064
Идентификатор безопасности: NULL SID, имя учетной записи: joedoe, домен учетной записи: Acme
Имя рабочей станции: WINXP1, сетевой адрес источника: 192.168.1.23, порт источника: 1904
Процесс входа в систему: NtLmSsp, Пакет аутентификации: NTLM, Тип входа: 3 (сеть)
Я полагаю, что это исходит от какой-то службы netbios или аналогичной (может быть, файлового менеджера), ведет инвентаризацию своего сетевого окружения, а также пытается аутентифицировать.
Есть ли способ отключить это, не отключая общий доступ к файлам? Другими словами, клиенты, проходящие аутентификацию на файловых серверах, которые они используют, конечно, не проблема, но я хочу исключить клиентов, пытающихся пройти аутентификацию на серверах, которые они не используют и с которыми не имеют дела. Приведенный выше пример является только одним из тысяч предупреждений журнала для подобных неудачных сетевых аутентификаций.
Что я могу сделать, чтобы очистить это / обработать это?
1 ответ
Учитывая решение, которое вы нашли, я предлагаю удалить элементы из папки Network Places. Один из простых способов сделать это - через пакет при входе в систему:
RD /S /Q "c:\Documents and Settings\%1\NetHood\" >nul
MD "C:\Documents and Settings\%1\NetHood\"