Ещё про Майкрософт

Ну, все админы уже, конечно, в курсе существования Windows Server 2008. И все, конечно, кто уже не раз поднимали службы Active Directory на этих операционках, в курсе, что в начале визарда конфигурации вылезает такая мессага:

Сегодня я из интереса решил проследовать по предложенной ссылке. И что я там увидел, это пир духа:

Примечание.Windows NT 4.0 это раньше, корпорация Майкрософт поддерживает период жизненного цикла. Сценарии, относящиеся к Windows NT 4.0 не проверялись и не поддерживаются. Следующая информация только является информационным и предназначена для облегчения упрощает переход с системами Windows NT 4.0. Для получения дополнительных сведений о Microsoft политики жизненного цикла поддержки, посетите следующий веб-узел корпорации Майкрософт

И там подобного хлама от автопереводчика ещё тонны, рекомендую почитать для поднятия настроения. Машинные переводы это всегда смешно. :)

Гнида же тем временем разбогатела ещё на один миллиард долларов. А переводы на русский у него, похоже, делают вездесущие индийцы на аутсорсинге. :)

И, чтобы два раза не вставать, по рассылке пришло из того же источника:

Если вы IT-специалист и устанавливаете ПО в небольших компаниях – вы можете получить возможность бесплатно сдать экзамен по программам сертификации Microsoft Certified Professional.
Все, что от вас потребуется – делать рекомендации по установке Office 2010 и Exchange 2010.

Тебе рассказывают о преимуществах решений корпоративной почты или офисного документооборота от Майкрософт? Не забывай, что рассказывающий имеет от этого материальный интерес.

Видишь в организации установленный MS Exchange или MS Office? Знай, кто-нибудь обязательно погрел на этом руки.

Атака brute force на terminal services

Таки нужно менять стандартные порты всех (по возможности) открытых в интернет сервисов. Сегодня был свидетелем брутфорса на RDP онлайн.

Порядка 5-6 подключений в секунду с одного айпишника. В логах пишется тем временем такое:

Тип события: Аудит отказов
Источник события: Security
Категория события: Вход/выход
Код события: 529
Дата: 21.02.2011
Время: 16:20:10
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SRV
Описание:
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: sys
Домен: KAROLINA.LOC
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: SRV
Имя вызывающего пользователя: SRV$
Домен вызывающего: KAROLINA.LOC
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 12456
Промежуточные службы: -
Адрес сети источника: 195.211.101.178
Порт источника: 3799


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Атака какая-то бараническая, кроме sys'а больше ничего не пробовалось. Я всю жизнь админствую, но такого %username% отродясь не видал. Уж куда как перспективнее отака на "администратор"а. Это, кстати, аргумент в пользу отключения/переименования учётки админа. Я обычно переименовываю в ruler. Ну или как-то так.

Всего было сделано порядка 18 000 попыток. Маловато будет! :)