Архив форумов ЦИТФорума

[Nicola]

Ну долбится что-то Короче, сетя Win2K поднят AD. Стоит защита на то что по введению 40 неправильных паролей происходит блокировка учетной записи. Вот она и блокируется. Постоянно у кого-то учетная запись вылетает. Ну сил нет бегать по всем, а потом с сервака править. Не могу понять в чем трабла. Это точно не юзеры неправильные пароли набирают. Потому что в логе на сервере идет вход примерно 5 паролей в секунду. Не может человек так тупо набирать. Да и не будут. А еще преемущественно слетают люди с 98. Хотя я не помню у ХР такое было. И самое неприятное что обращение происходит (так пишут винды в логах) с той самой машины на которой юзер сидит. Вот что делать? Может фает с полным разрешение поставить чтоб мониторил. Мне надо что-то что сможет засечь такие вот обращения на сервер и показать либо IP либо (идеальный вариант) мак адрес той машины с которой эта гадость идет. А как выясню так дальше разберусь с проблемой самостоятельно. Помогите, пожалуйста. Ну очень устал. Принимаю любые предложения.
Заранее благодарен за любую помощь.
P.S. Ведь должно быть решение ведь так можно любую сеть сажать в даун маленькой программулькой.

[Алекс]

Слышал я, что АД критична к разнице во времени на сервере и клиентах. Может в этом засада какая?
_________________
Удачи!

[ASD_ROJD]

ПОКА СОВЕТУЮ КЛИЧЕСТВО НЕВЕРНЫХ ПАРОЛЕЙ УВЕЛИЧИТЬ ПРИМЕРНО ДО 100!
Я СЛЫШАЛ НА СЧЁТ РАЗНИЦЫ ВО ВРЕМЕНИ НО ЭТО НЕ С ПАРОЛЯМИ!
ТАМ ДРУГАЯ ФИЧА БЫЛА.
САМОЕ ПРОСТО НО СЛОЖНОЕ ЗА ТО 100 ПРОЦЕНТНОЕ
ОСТАНЬСЯ ПОСЛЕ РАБОТЫ И КОГДА НИ КОГО НЕТУ! САМ СЯДЬ ЗА ТЕМАШИНЫ ГДЕ БЛОКИРУЕТСЯ ЗАПИСЬ И САМ ПОПРОБУЙ ПОНАБИРАТЬ ЛЕВЫЕ ПАРОЛИ (ПРИ ЭТОМ ЛИШНИЕ ЯЩИКИ РАБОТАТЬ НЕ ДОЛЖНЫ)
САМ ДАЛЬШЕ ДУМАЮ РАЗБЕРЕШСЯ!

[Nicola]

Ну и что это мне даст? Ну увижу я тоже самое что и сейчас вижу и дальше что? Можно подробнее в чем я должен разобраться. Про время я слышал, но тут дело в том, что машина работает допустим год и вдруг начинается концерт. Если бы это было со временем это было бы постоянно. А тут вот такая лажа. Мне бы прогу чтоб говорила о том с какого МАК адреса произошел вход или неудачный вход. И тогда всему и всем конец настанет.

[ALEX_SE]

Ты не привел текст конкретных ошибок, но думсаю что причина может быть во входе без авторизации а потом к обращению к ресурсам домена. Например на 2к вошел под локальным админом, а комп в сети. Ессно при обращение к сетевым ресурсам зачем-то там у тебя весь сервер будет завален подобным... Может и тут тоже самое? Входят нажав отмену а потом в сеть лезут?

[Nicola]

Да вот только что проверил. Если в сеть не заходить то в логах вообще ничего не отображается у меня. Здесь что-то другое... А вот что? А может есть программа которая скажет хоть не МАС а хоть IP?

[Алекс]

Спроси пользователей, с каких машин они заходили. Может на самих машинах что-то установлено?
_________________
Удачи!

[Nicola]

Со своих машин заходят. Да и на машинах ничего нет такого экстримального. Ворд да Эксель. Мне программа нужна. Неужели никто с такой проблемой не сталкивал. Везде свеженький веб стоит.

[Алекс]

Вирусы?
_________________
Удачи!

[Nicola]

Да врятли. Я же говорю доктора веба поставил на все машины и обновляю его ежедневно. Тут с горя поставил Ethreal кто знает каке обращения проходят к серверу в момент аутентификации пользователя? Т.е. по какому протоколу? По какому порту? Сетя большая и очень много пакетов идет. Просто шквал. А посколько трабла появляется периодически ни один комп не выдержит такого объема инфы проходящей через сетевой интерфейс

[Алекс]

А может какую-нибудь ИСУ прикрутить? Она, вроде бы, дает возможность отследить МАКи, с которых происходит обращение. Да и с Виндозой дружна до боли. Может еще и юзеров АД подхватывать умеет? Попробуй. Сам так не делал, поэтому говорю, как вариант. Может еще кто подскажет по возможностям ИСЫ?
_________________
Удачи!

[Гость]

По макам ISA Server не даёт отслеживать, c AD интегрируется полностью, можно глядеть какой юзер и чего делает.....

[Алекс]

[Nicola]

Ёу, мне бы не оченьно хотелось засирать копроративный сервак такими вещами...

[Алекс]

[Nicola]

Пользователей в районе 100

[DrDr]

Слушай, а может вся беда в том, что сеть большая (в смысле - длинная). Может хабы все на свичи поменять, тогда в физике шума меньше будет и всё заработает?

[Алекс]

[гость]

точно ничем помоч немогу только могу сказать что скорее всего кто-то из инета подбирает пароль к вашему серваку и делает это с помощю проги .... вот

[watcher]

А аудит безопасности включали и логи файера смотрели?

[Nicola]

[Nicola]

[Nicola]

[Nicola]

А, тут еще инфа подоспела. Говорят у друга где он работает тоже кто-то так падлил. До сих пор выяснить не могут.

[watcher]

буду повторяться:
где-то в сети болтается переборщик паролей!
(просто кому-то скучно наверное и с захотел с админом поговорить!)
либо кто-то спец. долбит!
смотря у кого какие права!
Вы выяснили идет перебор извне или из внутренней сети?
поставьте файер! и netmon'om отслеживайте обращения к серверу!
отключите кэш паролей на раб. станциях и включите полный аудит!
и безопасности и обращения к ресурсам!
в вашем случае придется применить "драконовские методы" и устроить тотальную слежку!
запустите снифер и читайте логи (придется очень долго читать )
ограничьте юзеров в правах и т.д
закройте лишние порты и запретите запуск и установку неизвестных программ! проверьте на вирусы(желательно неск. антивирусами)
вычистите реестр на наличия троянов и т.д
проверьте не было ли получения более высоких привелегий!
чудес не бывает!!!
если не хотите всем этим заниматься,можно просто форматнуть тачки и залить по-новому,с ограничениями и т.д