Windows-Server-2008

確定windows伺服器攻擊?我應該整天監控伺服器並阻止IP嗎?

  • April 19, 2013

在查看windows server 2008事件日誌時,總是發現很多安全事件4625/logon如下:

**An account failed to log on.**

Subject:
   Security ID:        SYSTEM
   Account Name:       Sever-Name
   Account Domain:     WORKGROUP
   Logon ID:       0x3e7

Logon Type:         10

Account For Which Logon Failed:
   Security ID:        NULL SID
   Account Name:       admin (or administrator or user or any)
   Account Domain:     Sever-Name

Failure Information:
   Failure Reason:     Unknown user name or bad password.
   Status:         0xc000006d
   Sub Status:     0xc000006a

Process Information:
   Caller Process ID:  0x1b18
   Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
   Workstation Name:   Sever-Name
   Source Network Address: Some-Remote-IP
   Source Port:        Port#No (many ports in a row)

Detailed Authentication Information:
   Logon Process:      User32 
   Authentication Package: Negotiate

以上嘗試來自使用所有可能的使用者名和埠的單個 IP。

我的問題是:

  1. 這些是正常攻擊嗎?
  2. 我應該有多擔心?我應該監視和阻止每個 IP 還是僅在發生巨大攻擊時
  3. 通過選擇阻止**“所有程序”**來阻止IP通過Windows防火牆是否意味著該IP甚至無法使用Web和電子郵件服務?
  4. 如果#3 的答案是肯定的,有沒有辦法只阻止機器/RDP 訪問?夠了嗎?

這是你需要做的:

  1. 設置 VPN 以安全地遠端訪問您的伺服器。
  2. 將伺服器置於防火牆(硬體或軟體)之後,並且不允許從任何地方進行遠端登錄。如果要遠端連接,則必須連接到 VPN。
  3. 吃個三明治,享受這些基本的安全預防措施後,您的生活會變得多麼美好。

完成之後,您需要獲得一本關於 Windows 管理(或一般管理)的書,並閱讀有關防火牆規則的資訊。然後適當地配置你的。只有您知道誰需要從哪裡訪問哪些服務。花一些時間查看所有正在執行的服務,確定哪些服務需要公開(如 Web),哪些不需要(如 RDP),並相應地配置您的防火牆。

引用自:https://serverfault.com/questions/500923