我们在 Azure 上部署了 3 台虚拟机(全部为 win 2012 R2)。今天我注意到,自 12 月 9 日起,所有服务器的安全日志中都记录了多条登录失败消息。似乎存在随机登录尝试。下面是一些错误示例。如您所见,帐户名称是随机的,并且这些用户都不属于我们的 AD 部署。我不确定这是否像暴力攻击,但这让我很担心。我们的入侵检测软件识别了这些登录尝试的 IP 并阻止了这些 IP,因为它认为这是入侵尝试。到目前为止,它已经阻止了 400 多个 IP。但是,我担心的是,我如何才能永久阻止这些连接?此外,将这些 IP 列入黑名单有什么缺点?如能得到任何帮助,我将不胜感激。
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain:
-
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: BLARSEN
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain:
-
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Jobs
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain:
-
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: EDUARDO
答案1
解决以下几点:
- 暴力攻击:我同意这很可能是
- 封锁这些 IP 的缺点:如果这些 IP 是伪造的,或被 VPN 服务使用,那么如果你封禁它们,未来合法流量可能会被封锁。我认为风险很低,你可以在收到举报后处理这些问题。
- 如何阻止:这取决于您的安全设计。防火墙是一个很好的起点。听起来您的 IDS 已经做得很好了。
- 为什么这些端口首先向公众开放?您应该重新评估您的安全设计,看看是否有办法限制对这些入口点的访问。很少有充分的理由直接向公众公开 Windows 服务器端口。即使是 IIS 服务器也应该有一个良好的前端来过滤流量。