Windows

防止對 VPS 的登錄類型 2 和 3 攻擊

  • April 15, 2013

抱歉,如果之前有人問過這個問題,但我查看了其他問題,但找不到匹配項。

我的 Win Server 2008 VPS(來自不同的 IP)受到了很多 Logon Type 2 和 3 攻擊。我一直想知道處理這些問題的最佳方法是什麼?

我還注意到攻擊者使用新創建的管理員使用者名(不是預設的“管理員”),因此他們以某種方式從我的 VPS 活動目錄中獲取了這些資訊。我確實啟用了 RDP 訪問(但不是通過標準 RDP 埠)。我知道這是一個安全問題,但我需要訪問權限。

附帶說明:使用 ShieldsUp,我發現埠 135(DCOM 服務控制管理器)和 445(Microsoft 目錄服務)對全世界開放。這可能是攻擊者獲取我的帳戶名的方式嗎?在不將自己鎖定在 VPS 之外的情況下關閉這些埠是否安全?

謝謝你的任何提示。

**更新:**我已經使用自定義防火牆規則阻止了埠 135 和 445。我還在機器上創建了一個新的測試帳戶,以查看攻擊者是否仍在獲取 AD 數據。正如@syneticon-dj 建議的那樣,我還關閉了文件和列印機共享。現在我正在等待,看看事件日誌中是否出現任何新內容。

**更新 2:**執行此配置幾天后,我沒有在我的事件日誌中發現任何新的攻擊。所以我猜埠阻塞+禁用共享就可以了!

匿名使用者確實可以通過 SMB 訪問使用者和共享列表。但這已經是很久以前的事了 - Windows NT 已經收到了一個能夠隱藏此資訊的修復程序,這是 Windows Server 2003 的預設行為。如果您仍然能夠匿名查詢共享或使用者列表,您可能有配置錯誤的伺服器。

除此之外,如果您的公共 IP 上沒有需要 SMB 訪問的客戶端,您應該將它們防火牆關閉,或者更好的是,從面向 Internet 的界面中取消綁定“Microsoft 網路的文件和列印共享” :

文件和列印共享

如果您需要RDP,請考慮在您的伺服器上安裝 IIS(如果您還沒有),啟用終端服務網關角色並設置證書/創建訪問規則以僅通過 HTTPS 允許 RDP 隧道(無直接 RDP 訪問)。通過這種方式,您可以降低 RDP 堆棧中最終出現問題的風險,因為必須在交換 RDP 相關資訊之前完成身份驗證。此外,您還可以通過使用可驗證的證書來保護自己免受針對終端服務的 MITM 攻擊。

只要您的伺服器提供需要對開放網際網路進行身份驗證的服務,就沒有任何東西可以阻止世界各地的任何使用者嘗試使用者名/密碼組合。但是,如果您的伺服器被配置為只提供必要的服務,而不是洩露資訊,是最新的安全更新,並且所有使用者帳戶都有強密碼,那麼就沒有什麼可擔心的了(也沒有什麼可做的從那要麼)。

引用自:https://serverfault.com/questions/498995