Windows-Server-2008
確定windows伺服器攻擊?我應該整天監控伺服器並阻止IP嗎?
在查看windows server 2008事件日誌時,總是發現很多安全事件4625/logon如下:
**An account failed to log on.** Subject: Security ID: SYSTEM Account Name: Sever-Name Account Domain: WORKGROUP Logon ID: 0x3e7 Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: admin (or administrator or user or any) Account Domain: Sever-Name Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc000006a Process Information: Caller Process ID: 0x1b18 Caller Process Name: C:\Windows\System32\winlogon.exe Network Information: Workstation Name: Sever-Name Source Network Address: Some-Remote-IP Source Port: Port#No (many ports in a row) Detailed Authentication Information: Logon Process: User32 Authentication Package: Negotiate
以上嘗試來自使用所有可能的使用者名和埠的單個 IP。
我的問題是:
- 這些是正常攻擊嗎?
- 我應該有多擔心?我應該監視和阻止每個 IP 還是僅在發生巨大攻擊時?
- 通過選擇阻止**“所有程序”**來阻止IP通過Windows防火牆是否意味著該IP甚至無法使用Web和電子郵件服務?
- 如果#3 的答案是肯定的,有沒有辦法只阻止機器/RDP 訪問?夠了嗎?
這是你需要做的:
- 設置 VPN 以安全地遠端訪問您的伺服器。
- 將伺服器置於防火牆(硬體或軟體)之後,並且不允許從任何地方進行遠端登錄。如果要遠端連接,則必須連接到 VPN。
- 吃個三明治,享受這些基本的安全預防措施後,您的生活會變得多麼美好。
完成之後,您需要獲得一本關於 Windows 管理(或一般管理)的書,並閱讀有關防火牆規則的資訊。然後適當地配置你的。只有您知道誰需要從哪裡訪問哪些服務。花一些時間查看所有正在執行的服務,確定哪些服務需要公開(如 Web),哪些不需要(如 RDP),並相應地配置您的防火牆。