我们有一个为多个电子商务网站提供服务的云 Web 服务器,该服务器运行的是 Windows Server 2008 R2 和 IIS 7.5。我们通过 RDC 访问该服务器。
查看 Windows 安全日志后,我可以看到很多登录尝试,它们是事件:
- 4776 - 计算机尝试验证帐户的凭据。
- 4625 - 帐户登录失败。
日志中的用户名是“administrator”,而我们没有这个用户名,我们使用不同的 Windows 登录名作为管理员,并且密码很复杂。所以我并不担心有人真的进入我们的服务器,我担心的是服务器资源被占用。
我知道我们可以使用 Windows 防火墙锁定 RDC 访问,这样只接受我们的 IP。但是我不知道这些登录尝试是如何进行的。我不知道我们是否可以区分这些登录尝试和正常的 HTTP 流量(我们的客户)。
我们可以使用 Windows 防火墙来阻止这些登录尝试,但不阻止我们的 RDC 访问或我们的客户访问我们的网站吗?
更新:
来自安全日志:
Event 4625 - An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: [our_server_name]$
Account Domain: Workgroup
Logon ID: 0x3e7
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: [our_server_name]
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0xa44
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: [our_server_name]
Source Network Address: 198.50.172.109
Source Port: 62246
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
答案1
既然你在问题中提到了远程桌面,我假设你已经在互联网上打开了远程桌面,在这种情况下,它几乎是一个肯定这些失败的登录均来自基于远程桌面的暴力破解尝试。
事件 4625 消息的详细信息将告诉您实际发生的情况。远程桌面登录尝试将显示“调用方进程 ID:”为 ,0x0并将“调用方进程名称”显示为-。
由于您说您没有在网站上使用任何身份验证,因此这些条目不能与客户端访问网站有关。“调用方进程名称”将位于C:\Windows\System32\inetsrv\w3wp.exe基于 IIS 的登录中,以防万一您想要检查。
您不应该将远程桌面开放给整个互联网。至少将其锁定在授权 IP 地址上。
编辑:
你能对于无效的基于远程桌面的登录,也会将其winlogon.exe作为“调用方进程名称”。我无法为您提供实现此操作所需的 RDP 安全层和 Windows 版本的确切组合,但是,可以肯定地说,这些都是失败的远程桌面登录。