此命令用于访问远程共享。
net use \10.31.247.2\share /user:admin password
是否有任何方法可以检测(EventLogs/其他工具)是否有人试图使用此方法暴力破解远程系统?错误的密码不会在远程系统上产生任何事件日志。
是否有其他方法可以访问远程共享并在被暴力破解的系统上生成事件日志?
答案1
是的。查看 10.31.247.2 上的安全日志(如果是工作组服务器)或 PDC 模拟器上的安全日志(如果已加入域)。
这将产生失败审计事件 675(win2003)或 eventID 在 4768 和 4771 之间的失败审计,请尝试过滤您的安全日志。