我一直在寻找安全选项上的 Windows 8 Web 服务器事件日志,但我对大量的审计失败日志无言以对。
我想了解的是,我非常非常多的审核失败都是“失败原因:未知用户名或密码错误”。我也看到失败是尝试多个端口的多个帐户名。
有什么想法可以防止这种情况发生吗?我不知道如何开始...
答案1
即使在正常运行的情况下,由于服务尝试使用传统方法等,审核也会不断失败。但是,如果您看到使用随机用户名或实际用户名的远程身份验证持续失败,则这是暴力攻击。源端口可能不相关。
如果服务器不需要监听受到攻击的服务上的互联网,就不应该这样做。用防火墙保护它。事实上,您通常应该在服务器周围设置防火墙,拒绝访问除必要之外的所有内容。具体是什么在很大程度上取决于您的环境和服务器的用途(没有一个真正的防火墙规则集)。
如果登录尝试是在您需要监听的服务上进行的,则应考虑部署某种 IPS 来帮助限制暴力破解。还请记住,使用强密码,此类攻击成功的几率与中彩票的几率相当。
如果您注意到失败的尝试似乎来自您的内部网络,并且与某人错误输入密码或某种服务自动尝试使用错误密码登录无关(在所有环境中一定数量的身份验证失败都是正常的),请调查主机被入侵的可能性。