Windows Server 2012: самый простой способ отслеживать порты на предмет ошибок 4625 NTLM-атак
Я получаю тысячи хакерских атак на сервер Windows, в результате чего в журнале безопасности появляется 4625 записей. Хакеры используют случайные IP-адреса, поэтому обычные инструменты RDPguard, Syspeace и т. Д. Не работают. Порт 3389 закрыт на сервере, поэтому я удивлен продолжающимися атаками.
Я хотел бы выяснить, к каким локальным портам подключаются злоумышленники для своих попыток, но все автоматизированные инструменты, которые я нашел, только посмотри IP. И журналы сервера Windows по умолчанию также показывают только IP и удаленный порт, но не локальный порт.
Я знаю, что могу вручную просматривать журналы Wireshark, но это трудозатратно. Я хотел бы найти инструмент, который отслеживает неудачные попытки входа в систему и просто подтверждает их с помощью локального порта, чтобы я знал, какие порты нужно закрыть. В идеале это не генерирует гигантские журналы и не требует постоянного мониторинга; инструмент предпочтительно запускался бы при неправильном входе в систему и собирал информацию о порте и сервисе. Есть идеи?
Думаю, ваш лучший инструмент - это сами окна. Поскольку у вас уже включен брандмауэр Windows, вы можете использовать его ведение журнала для просмотра и отслеживания желаемого трафика.
Журнал событий: Подробная информация находится внизу этого Technet https://technet.microsoft.com/en-us/library/dd421717 (v = ws.10) .aspx
Журнал брандмауэра Windows: Или вы можете включить ведение журнала в брандмауэре Windows и сохранить его в файл. https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/
Или в разделе мониторинга брандмауэра Windows с повышенной безопасностью.