虚拟服务器：RDP 受到攻击？

Question 1

有可能。不过，这也可能是应用程序试图使用密码已更改或已过期的凭证登录。

您应该仔细查看事件并确定：- 正在发生哪种登录？查看它是 RDP 还是其他类型的访问 - 正在尝试哪些帐户名（如果是随机的您不认识的帐户名，或者遍历 AZ 名称，那么肯定是攻击）

除此之外，请验证您的服务器的 RDP 是否可以公开访问。如果是这样，您真的需要这样做吗？如果您的虚拟服务器位于您的组织内，请锁定您的公共防火墙以防止这种情况发生（或要求负责防火墙的管理员这样做）。如果它在云端，提供商应该提供用于控制网络访问的接口（虚拟防火墙）。

如果你的网络上有服务器，但没有适当的防火墙，那么你将面临一个相当严重的安全问题。这些盒子应该可用只仅在操作所需的端口上，因此基本的 Web 服务盒应该只具有针对端口 80 和 443（如果提供 SSL）的出站防火墙规则。

安全永远不应该从另一个方向着手（一开始是全部允许，然后只锁定特定项目）。同样，移至非标准端口只会稍微提高安全性。

Answer

有可能。不过，这也可能是应用程序试图使用密码已更改或已过期的凭证登录。

您应该仔细查看事件并确定：- 正在发生哪种登录？查看它是 RDP 还是其他类型的访问 - 正在尝试哪些帐户名（如果是随机的您不认识的帐户名，或者遍历 AZ 名称，那么肯定是攻击）

除此之外，请验证您的服务器的 RDP 是否可以公开访问。如果是这样，您真的需要这样做吗？如果您的虚拟服务器位于您的组织内，请锁定您的公共防火墙以防止这种情况发生（或要求负责防火墙的管理员这样做）。如果它在云端，提供商应该提供用于控制网络访问的接口（虚拟防火墙）。

如果你的网络上有服务器，但没有适当的防火墙，那么你将面临一个相当严重的安全问题。这些盒子应该可用只仅在操作所需的端口上，因此基本的 Web 服务盒应该只具有针对端口 80 和 443（如果提供 SSL）的出站防火墙规则。

安全永远不应该从另一个方向着手（一开始是全部允许，然后只锁定特定项目）。同样，移至非标准端口只会稍微提高安全性。

Question 2

您的 IP 可能被扫描，RDP 被检测到，有人决定尝试暴力破解。一旦您的网站上线，尝试的次数可能会增加，但无法预测未来。

您应该能够从密钥HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下更改 RDP 端口PortNumber。

安装防火墙时，请注意不要将自己锁定。据我所知，您可以通过配置帐户锁定策略来设置最大登录尝试次数。

Answer

您的 IP 可能被扫描，RDP 被检测到，有人决定尝试暴力破解。一旦您的网站上线，尝试的次数可能会增加，但无法预测未来。

您应该能够从密钥HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下更改 RDP 端口PortNumber。

安装防火墙时，请注意不要将自己锁定。据我所知，您可以通过配置帐户锁定策略来设置最大登录尝试次数。

Question 3

我的 VPS 也遇到了同样的问题 - 除了 RDP，他们还试图远程入侵 SQL Server。结果，在几个月的时间里，他们用不断扩大的日志逐渐填满了我的磁盘空间！

我的解决方案是限制谁可以通过 IP 地址连接 - 这些请求现在面临第一个障碍。

正如已经提到的，您还可以更改每个服务的端口 - 可能值得结合 IP 地址进行此操作 - 您不能太安全！

我也赞同克里斯对最小特权原则... 封锁一切，然后逐渐开放——但越少越好。

Answer

我的 VPS 也遇到了同样的问题 - 除了 RDP，他们还试图远程入侵 SQL Server。结果，在几个月的时间里，他们用不断扩大的日志逐渐填满了我的磁盘空间！

我的解决方案是限制谁可以通过 IP 地址连接 - 这些请求现在面临第一个障碍。

正如已经提到的，您还可以更改每个服务的端口 - 可能值得结合 IP 地址进行此操作 - 您不能太安全！

我也赞同克里斯对最小特权原则... 封锁一切，然后逐渐开放——但越少越好。

相关内容