在查看 Windows Server 2008 事件日志时,我总是发现许多安全事件 4625/登录,如下所示:
**An account failed to log on.**
Subject:
Security ID: SYSTEM
Account Name: Sever-Name
Account Domain: WORKGROUP
Logon ID: 0x3e7
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: admin (or administrator or user or any)
Account Domain: Sever-Name
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
Process Information:
Caller Process ID: 0x1b18
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: Sever-Name
Source Network Address: Some-Remote-IP
Source Port: Port#No (many ports in a row)
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
上述尝试来自使用所有可能的用户名和端口的单个 IP。
我的问题是:
- 这些是常规攻击吗?
- 我应该有多担心?我应该监控并屏蔽每一个 IP 吗?只有当发生巨大攻击时?
- 是否通过选择阻止来阻止 IP 通过 Windows 防火墙“所有程序”是不是意味着这个IP连网页和邮件服务都无法使用?
- 如果问题 3 的答案是肯定的,那么有没有办法只阻止机器/RDP 访问?这样就够了吗?
答案1
您需要做的是:
设置 VPN 以便安全地远程访问您的服务器。
将服务器置于防火墙(硬件或软件)后面,不允许从任何地方进行远程登录。如果要远程连接,则必须连接到 VPN。
吃一个三明治,享受你现在做得更好的感觉基本的安全预防措施。
完成这些之后,您需要获取一本关于 Windows 管理(或一般管理)的书,并阅读有关防火墙规则的内容。然后适当地配置您的防火墙。只有您知道谁需要从哪里访问哪些服务。花点时间查看所有正在运行的服务,确定哪些服务需要公开(如 Web),哪些不需要(如 RDP),并相应地配置您的防火墙。
答案2
事实是,如果您遭受大规模 DDOS 攻击,防火墙实际上无法帮助您,因为它在禁止 IP 地址时会耗尽资源。好的解决方案是拥有故障转移 IP,最好的是拥有负载平衡设置。
如果这是一个小型 DDoS 攻击,只需跟踪并阻止这些 IP 就可以了。