我的 Windows Server 2008 域控制器每分钟都会收到数百次登录尝试。大多数情况下,IP 地址不在事件日志中,但偶尔出现的 IP 地址往往来自匿名浏览网站。但是,当我们阻止 IP 地址时,攻击只会转移到另一个网站。所有尝试都使用合法帐户名。这导致大量帐户被锁定。我可以配置 Windows 防火墙以拒绝不在我的本地网络上的 IP 地址吗?
答案1
您应该配置您的外围防火墙,以不允许非内部 IP 访问您的域控制器(坦率地说,它们不应该访问您内部 IP 上的任何系统,它们应该进入 DMZ)。如果您没有在事件日志中获取 IP,您可能需要捕获数据包并确定这些攻击的来源。
答案2
我要做的第一件事就是断开你的网络连接,直到你采取一些安全措施。至少这可以阻止你的账户被锁定。
David 建议阻止所有对内部 IP 的访问,然后实施 DNZ,这可能是正确的做法。
答案3
我手头没有 2008 系统,但 XP 防火墙(和 Server 2003 防火墙)有一个阻止访问非本地帐户的选项。这需要一些调整,但它确实存在。你只需打开它。根据网络的复杂程度,你可能需要指定一个网络块,而不是使用“本地网络”点击框,否则你的 DC 将无法与其他 DC 通信或登录合法用户。
他们拥有合法的登录名,这意味着你有一个面向互联网的界面,他们可以在那里提取这些数据。也许你的全局目录端口是可见的。有了它,针对攻击就容易多了。
答案4
转到域控制器上的防火墙策略,并将其配置为删除所有非来自内部网络的流量。
如果您确实需要一些外部流量进来(例如您是一家小型企业并且正在运行 SBS 或 RRAS),那么请根据具体情况允许它们所需的端口。
此页面将帮助您开始在 2008 服务器上配置适当的防火墙:
http://technet.microsoft.com/en-us/network/bb531150.aspx
如果你想直接进入界面:
http://technet.microsoft.com/en-us/library/cc730971(WS.10).aspx(SF 稍微破坏了 URL)