1

Недавно мы заметили, что некоторые из наших серверов ежедневно получают около 2000 попыток входа в систему. Все они используют учетную запись администратора, только с неправильным паролем.

Оглядываясь вокруг, мы обнаружили, что RPC одного из наших серверов (под управлением Windows Server 2012 r2) пытается автоматически выполнить эти входы в систему. Мы пытались заблокировать службу RPC на брандмауэре, но безуспешно.

Любые параметры в RPCSS для учетных записей входа серого цвета, поэтому вопрос:

Что именно происходит? Как я могу остановить RPCSS от этого?

Это похоже на атаку, но, поскольку оно не меняет имена пользователей, а только пытается использовать одну учетную запись, похоже, что это делает служба.

0