Как понять данные действия?

Добрый день! Имеется сервачег на windows server 2008 R2. Там открыт был порт 3389 и соответственно было куча всякого брута и попыток взлома. Со всеми логами просто и понятно, кто откуда и зачем кроме одного:
Вход с учетной записью выполнен успешно.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Новый вход:
	ИД безопасности:		АНОНИМНЫЙ ВХОД
	Имя учетной записи:		АНОНИМНЫЙ ВХОД
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x15881cd
	GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
	Идентификатор процесса:		0x0
	Имя процесса:		-

Сведения о сети:
	Имя рабочей станции:	UNO2178A
	Сетевой адрес источника:	202.39.254.231
	Порт источника:		59913

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	NTLM V1
	Длина ключа:		128

и далее через 3 секунды такой вот лог:
Выполнен выход учетной записи из системы.

Субъект:
	ИД безопасности:		АНОНИМНЫЙ ВХОД
	Имя учетной записи:		АНОНИМНЫЙ ВХОД
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x15881cd

Тип входа:			3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

То есть как я понял кто то попытался войти под анонимным пользователем и его система убила или что это вообще значит? Всем спасибо. В впн серваг уже добавил.
  • Вопрос задан
  • 5659 просмотров
Пригласить эксперта
Ответы на вопрос 1
EnterSandman
@EnterSandman
Эникей
Сервисы запущенные локально по умолчанию входят анонимно, ничего страшного.
И это.. ну... гуглить не умеете, ды?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы