我有一个 Windows Server 2008 R2 系统,它每天在 Windows 日志的安全部分显示数千个登录类型 8 (NetworkCleartext) 的 4625 登录失败错误。源网络地址中没有列出试图获得访问权限的系统的 IP 地址,因此我构建的用于阻止经常失败的 IP 的脚本无法找到它们。
这些登录尝试可能来自哪些服务?
以下是其中之一的示例:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: server-name$
Account Domain: example
Logon ID: 0x3e7
Logon Type: 8
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x4d0
Caller Process Name: C:\Windows\System32\svchost.exe …windows-server-2008 log-files brute-force-attacks windows-event-log windows-server-2008-r2
log-files ×1