我们的一个新客户在 Win Server 2008 R2 上有一个遗留的 Web 应用程序,当我们开始诊断事件日志时,发现中国有多个 IP 试图访问他们的 sa sql 帐户并尝试通过 rdp 进入该框(连续几天每 2 或 3 秒一次)。
因此,需要快速澄清一下:1)Web 应用程序不使用 sa 帐户,并且 sa pwd 是安全的(并且并不简单)2)sql 服务器与 Web 应用程序位于同一个盒子上(在不久的将来)。3)到目前为止,我们已经将所有违规 IP 地址列入黑名单,但这些家伙绝不会停止,事实上,他们通常只需要几个小时就能获得一个新的 IP。
由于我是一名开发人员,我们通常使用 Azure 来避免其中一些基础设施问题,因此其中一些问题对我来说有点新鲜,我首先想看看是否存在一些我们缺少的明显的最佳实践。
其次,也是标题的核心,有没有办法自动化 IPSec 规则?由于提到 sa 帐户的无效登录尝试的唯一原因是黑客攻击,我是否可以设置一些东西来表示“如果您看到事件日志中出现一条消息,内容是‘用户‘sa’进行了无效登录尝试’,那么这是一次黑客攻击,并将违规 IP 地址添加到黑名单中”。