iT邦幫忙

0

NAS的SMB登入失敗紀錄

  • 分享至 

  • xImage

網域中有一台電腦,在沒有使用NAS共享資料夾狀況下產生了登入失敗的紀錄。
感覺上並不是入侵的動作,因為頻率沒有很頻繁,時間也不固定。
例如今天早上在0808有兩次、1121有七次,下午1519有兩次。

請問各位,有什麼動作是會誤觸SMB登入的呢?
又,在電腦上要如何查詢SMB連線(連出)的紀錄?

感謝!

======20220713更新======

這幾天測的結果,關掉網路探索,在點選網路資料夾輸入帳密的同時,就算輸入帳密正確,還是會在NAS上產生登入失敗的紀錄。而一次正確登入後,之後就不會再產生登入失敗的紀錄。

然後產生大量登入失敗的元凶則是在電腦上常用的一個文字編輯軟體"madedit"。不過是要在尚未登入NAS SMB的前提下,去點最近開過的檔案才會產生。不過點的當下只有產生兩筆登入失敗紀錄,後續會連續產生多筆登入失敗紀錄就不曉得緣由了。

總之依照這個思路我也關掉了檔案總管的快速存取中顯示經常使用的檔案及資料夾的設定。但還是希望能夠處理掉單純打開網路資料夾就會產生登入失敗的問題。

supermaxfight iT邦研究生 5 級 ‧ 2022-07-11 16:53:19 檢舉
感謝樓主提這個問題
剛剛我才發現
群暉目前的日誌中心不會有SMB登入失敗的紀錄
也跟客服確認過這現象
不知樓主用哪家的NAS
是否該電腦有網路探索功能,試試看關閉網路探索?
lsesroom iT邦新手 2 級 ‧ 2022-07-12 15:54:38 檢舉
感謝,我設定後觀察看看。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
mytiny
iT邦超人 1 級 ‧ 2022-07-11 16:32:11

感覺上並不是入侵的動作 ??
是拿什麼做判斷的依據呢。

基本上內網連線並不是安全的
很多綁架病毒事件都是內網開始的
建議樓主還是料敵從嚴為宜

lsesroom iT邦新手 2 級 ‧ 2022-07-11 16:34:28 檢舉

就只能在NAS上看到登入失敗的紀錄,所以想說能不能從本機查到什麼訊息。

mytiny iT邦超人 1 級 ‧ 2022-07-11 18:28:11 檢舉

登入失敗的紀錄,有帳號及來源IP嗎?
該帳號的電腦或人員有查證過嗎?瀏覽器有重置嗎?
來源IP是否為內網? 同時段該IP是否有聯外到異常位置?
如果內網沒有紀錄
看看防火聯外紀錄也是辦法

0
逢摸必爆MIS
iT邦研究生 3 級 ‧ 2022-07-11 16:44:08

有時候是有些人會拉捷徑到桌面,可是沒有儲存windows認證,
但是系統還是會自己連線所以會跑出登入失敗

這也很常發生在一些SERVER的安全紀錄
然後就被督一個莫名其妙(?)

lsesroom iT邦新手 2 級 ‧ 2022-07-11 16:50:36 檢舉

沒有儲存windows認證是指沒有設定自動登入就會有這樣的問題嗎?沒有去點它也會自己進行連線?

嗯嗯對
只要桌面有捷徑,系統就會自己嘗試連線,可能是在測試路徑是否正常,
不過我印象是開機的時候會嘗試連入一次
或著explorer重新啟動或登入的時候也會測試連線

lsesroom iT邦新手 2 級 ‧ 2022-07-12 15:53:52 檢舉

今天發現了,在點網路資料夾捷徑輸入帳密的同時,NAS上登入失敗的紀錄就跑出來了,就算帳密沒有輸入錯誤也會有。

我要發表回答

立即登入回答