Pular para o conteúdo principal

N-sight RMM - Informações sobre a Verificação de Falha de Logon

Caio Gutierri
  • Atualizado

Descrição

No N-sight RMM, como funciona a verificação de falha de logon?

 

Última Atualização

  • 05/02/2025

Solução

A verificação "Falha de Logon" faz uma busca no log de eventos de segurança do Windows afim de identificar o número total de tentativas de login sem sucesso nas últimas 24 horas.

 

Quando o número de tentativas com falha ultrapassa o limite determinado na verificação, a mesma falha.

 

O comportamento desta verificação (incluindo os Eventos consultados, informações retornadas e formato de exibição) varia dependendo da versão do Windows instalada e também de acordo com os dados que os logs de Eventos fornecem.

 

Em linhas gerais a verificação retorna o número total de logins com falha gravados nas últimas 24 horas. Além disto, clicando no link "Extra" uma caixa de diálogo chamada "Mais informações" será aberta com alguns outros registros sobre a causa das falhas.

 

Importante: Esta verificação é um espelho do que é registrado no Sistema Operacional, logo, se não há informações explícitas mostradas na verificação significa que o próprio Sistema Operacional não conseguiu registrar as mesmas.

 

Esteja ciente de que os IPs listados nas falhas encontradas não necessariamente referem-se a IPs de dentro da sua rede, pode ser algum IP de tentativa externa de acesso.

 

Além disto, sua rede possui alguma VPN?

Se sim, verifique se possui alguma porta liberada nos seus IPs, essas tentativas são normalmente efetuadas quando é encontrada alguma brecha como essa.

 

Em paralelo, para evitar que esses acessos sejam efetuados com sucesso, orientamos a utilização de filtros de web (como por exemplo o "Web Protection", presente no próprio N-sight RMM), além de soluções de AV e Firewall.

 

Por fim, valide também se este dispositivo não tem alguma pasta compartilhada na rede, talvez a máquina cujo IP foi identificado como responsável por tentar logar tenha algum mapeamento apontado para o dispositivo e a credencial está errada.

 

Em casos assim, o Windows vai tentar acessar o mapeamento diversas vezes e não vai conseguir.

 

Se for o caso, acesse a máquina cujo IP está listado e veja se não há uma credencial apontando para o dispositivo com falhas. Para isto, você pode abrir o menu "Executar" do Windows e inserir o comando control /name Microsoft.CredentialManager

 

Então, na tela que irá se abrir, valide se não existe nenhuma credencial criada para a máquina com falhas na verificação... No print do exemplo abaixo, localizei em uma máquina cujo IP estava na lista de logons com falha uma credencial para a máquina A-DES-09 (máquina com falha). Neste caso, basta remover a credencial:

 

 

Se mesmo após esta explicação ficar alguma dúvida sobre o procedimento, por favor entre em contato conocos através da nossa Central de Suporte ou pelo e-mail suporte@addee.com.br.

Artigos relacionados

Comentários

0 comentário

Por favor, entre para comentar.