日誌中有大量安全事件
大約一周前,我們將應用程序從一台伺服器移動到另一台伺服器(從 Windows Server 2008 到 Windows Server 2008 R2,不同的 DC,但同一家公司)。這台伺服器上有 12 個網站,但它們都是非常低流量的網站(每天點擊量<200)。
自從我們搬家後,我注意到事件 -> Windows 日誌 -> 安全下的安全日誌中充滿了丟包。大多數都在嘗試訪問埠 25、17,或者一些看似隨機的 > 1024 埠;它相當分散。有些來自著名的公司,例如 Constant Contact(例如 IP 208.75.123.132),有些來自我個人沒有聽說過的公司,例如 Cogento 38.96.220.83,但這似乎很有名。當然,有些隨機 IP 並不特別指向任何東西。所有這些埠都被阻止和/或未使用。
這些條目太多(估計平均每秒大約一到兩個),日誌在大約一天半的時間內填滿。使用以前的伺服器,託管相同的站點,我可以回去兩個多月。
我是否繼承了(隨著移動)一個用於誰知道什麼的 IP,現在所有這些服務都連接到我期待舊服務,還是發生了其他事情?
有什麼想法嗎?謝謝!
編輯:我應該提到這一點,事件日誌中的條目都是“事件 5152 - Windows 過濾平台已阻止數據包”。
EDIT2:這是一篇文章,涉及我遇到的完全相同的問題。重要的一點是使用 auditpol 禁用對丟棄數據包的審計,但除非您立即重新啟動,否則需要相當長的時間才能看到它的工作。我不確定它為什麼會這樣工作,但它確實讓我失望了。
EDIT3:本文遺漏的內容,對於 Windows 7 / Server 2008 R2,您需要轉到本地安全策略 -> 本地策略 -> 安全選項 -> 並啟用“審核:強制審核策略子類別設置(Windows Vista 或更高版本)覆蓋審核策略類別設置。” 預設情況下應該啟用它,但在我的情況下,“未定義”選項不起作用,我必須手動啟用它;更多資訊在這裡。需要重新啟動。
你看過這篇文章嗎?
或者我剛找到這一段
我發現問題是預設域策略下隱藏的 gpo 設置。電腦配置、策略、Windows 設置、安全設置、帶有高級設置的 Windows 防火牆、域配置文件、日誌記錄。點擊自定義並將日誌丟棄數據包和日誌成功連接設置為否。
您還應該通過防火牆阻止除埠 80,443 之外的所有埠 :)
歡迎來到網際網路,您的 ip 可能在一系列已知的高速電腦中,網路設置非常好。您會被掃描並試用。我在我的一台伺服器上也遇到了同樣的問題,對此無能為力,通常當潛在的黑客看到沒有響應時,他們會在一段時間後放棄。
您可以隨時嘗試主動拒絕而不是放棄,看看是否有幫助。