Identificare un tentativo di intrusione remota.

[calsdn]

Dunque:

Server Win NT4 sp6a ... fino all'ultima patch rilasciata.

Sto facendo una routinaria attivita di audit sul registro degli eventi. Ora nella sezione Security mi trovo una lunga sfilza di Logon Failed, con tutta una serie di prove per ottenere l'accesso alla macchina. Ho sempre visto qualche 'Logon Failure' ma questa volta mi sembra di essere di fronte ad un tentativo mirato a forzare l'accesso.

Tra le varie info che l'event viewer da c'è, il 'Logon Process' e la 'Workstation Name' (remota)

Domanda: :master:

- Cosa potrei fare per ottenere più informazioni su questo tentativo di logon? Nel senso: avere l'ip della macchina remota?

- A quale tipo di accesso corrispondono i seguenti 'Logon Process':
KSecDD
NTlmSsp (questo penso sia NT Lan Manager)

- Cosa'altro potrei attivare/installare, nel server, per avere più particolari nei prossimi accessi alla macchina?

grazie

[effeggi]

intanto hai il nome della workstation remota...a cosa corrisponde ? ovvero è un pc della LAN o un PC esterno ? se è esterno vuol dire che hai delle gravi falle di sicurezza, ovvero il tuo firewall (presumo tu ne abbia uno a monte della connessione) permette intrusioni remote.
Se tali login provengono dall'interno, non dovrebbe essere difficile risalire all'autore, magari fai delle indagini approfondite, prova con uno sniffer, oppure metti temporaneamente un firewall interno con un log abilitato che salvi l'ip della macchina remota.

ciao