Все, что открыто для Интернета, подвергнется постоянным атакам. Система Windows напрямую в интернете - ужасная идея, и вы должны вытащить ее как можно больше за брандмауэр. Если кому-то нужен доступ к этому серверу, установите программное обеспечение VPN и предоставьте ему доступ через него (также убедитесь, что пароли очень надежные и по возможности используйте ключи); и, если можете, отделите эту систему от вашей сети. VPN ограничит потенциальные векторы атак. Это может быть недостатком, поскольку это единственная точка отказа; но его можно укрепить, чтобы уменьшить вероятность взлома.
Возвращаясь к вашему вопросу, NTLM - это LAN Manager, и именно так Windows выполняет аутентификацию для разных вещей, ее нельзя отключить, не сломав много вещей. Наблюдение за множеством неудачных попыток входа в систему определенно может быть признаком атаки методом перебора. Вредоносные программы, такие как WannaCry, распространяются с помощью служб Windows непосредственно в Интернете (SMBv1 или Windows File Sharing). Заглушите эти дыры и позвольте всем, кто заявляет, что они не хотят, чтобы им причиняли неудобства шаг VPN, который они запрашивают для таких вредоносных программ, как WannaCry.
Действительно, «вымогатель», покоривший мир штурмом, не распространялся посредством рассылки рассылки по электронной почте. Напротив, наше исследование показывает, что этот противный червь был распространен с помощью операции, которая выслеживает уязвимую общедоступную сторону портов SMB, а затем использует предполагаемый эксплойт EternalBlue, пропущенный АНБ, чтобы войти в сеть, а затем (также предположительно АНБ), эксплойт DoublePulsar, чтобы установить постоянство и разрешить установку WannaCry Ransomware.
Как распространился вымогатель WannaCry? - Malwarebytes Labs | Malwarebytes Labs