Alles und alles, was für das Internet offen ist, wird ständig angegriffen. Ein Windows-System direkt im Internet ist eine schreckliche Idee, und Sie sollten so viel wie möglich hinter die Firewall ziehen. Wenn jemand Zugriff auf diesen Server benötigt, installieren Sie eine VPN-Software und gewähren Sie ihm Zugriff darauf (stellen Sie außerdem sicher, dass die Kennwörter sehr stark sind und verwenden Sie, falls möglich, Schlüssel). und wenn Sie können, trennen Sie auch dieses System von Ihrem Netzwerk. Das VPN begrenzt die potenziellen Angriffsvektoren. Es kann ein Fehler sein, da es sich um einen einzigen Fehlerpunkt handelt. Es kann jedoch gehärtet werden, um die Gefahr von Verletzungen zu verringern.
Um auf Ihre Frage zurückzukommen, ist der NTLM der LAN Manager. Auf diese Weise führt Windows die Authentifizierung für verschiedene Dinge durch. Er kann nicht deaktiviert werden, ohne viele Dinge zu beschädigen. Eine Reihe von fehlgeschlagenen Anmeldeversuchen ständig zu sehen, könnte auf jeden Fall ein Zeichen für einen Brute-Force-Angriff sein. Malware wie WannaCry wird verbreitet, indem Windows-Dienste direkt im Internet bereitgestellt werden (SMBv1 oder Windows File Sharing). Schließen Sie diese Lücken auf und lassen Sie jeden, der angibt, dass er nicht mit einem VPN-Schritt belästigt werden möchte, nach Malware wie WannaCry fragen.
Tatsächlich wurde der "Ransomworm", der die Welt im Sturm erobert hatte, nicht über eine E-Mail-Malspam-Kampagne verbreitet. Unsere Forschung zeigt vielmehr, dass dieser böse Wurm über eine Operation verbreitet wurde, die gefährdete öffentliche SMB-Ports jagt und dann den angeblichen von der NSA durchgesickerten EternalBlue-Exploit verwendet, um in das Netzwerk zu gelangen, und dann den (ebenfalls NSA-mutmaßlichen) DoublePulsar-Exploit zur Etablierung von Dauerhaftigkeit und erlaubt die Installation der WannaCry Ransomware.
Wie breitete sich der WannaCry-Ransomworm aus? - Malwarebytes Labs | Malwarebytes Labs