Извините, если этот вопрос был задан раньше, но я просмотрел другие вопросы и не смог найти соответствия.
Я получил много атак Logon Type 2 и 3 на мой VPS Win Server 2008 (с разных IP-адресов). Мне было интересно, как лучше всего с этим справиться?
Я также заметил, что злоумышленники используют только что созданное имя пользователя администратора (а не «Администратор» по умолчанию), поэтому они каким-то образом получают эту информацию из моего VPS Active Directory. У меня включен доступ по протоколу RDP (но не через стандартный порт RDP). Я понимаю, что это проблема безопасности, но мне нужен доступ.
В качестве примечания: используя ShieldsUp, я обнаружил, что порты 135 (DCOM Service Control Manager) и 445 (Microsoft Directory Services) открыты для всего мира. Может быть, так злоумышленники получают имена моей учетной записи? Безопасно ли закрыть эти порты, не блокируя свой VPS?
Спасибо за любые подсказки.
ОБНОВИТЬ: Я заблокировал порты 135 и 445, используя собственные правила брандмауэра. Я также создал новую тестовую учетную запись на машине, чтобы проверить, получают ли злоумышленники данные AD. Как предложил @ syneticon-dj, я также отключил общий доступ к файлам и принтерам. Теперь жду, посмотрим, не появится ли что-нибудь новое в журнале событий.
ОБНОВЛЕНИЕ 2: После запуска этой конфигурации в течение нескольких дней я не заметил никаких новых атак в моем журнале событий. Так что я думаю, что блокировка портов + отключение общего доступа сделали свое дело!
Списки пользователей и общих ресурсов действительно были доступны анонимным пользователям через SMB. Но это было давно - Windows NT получила исправление чтобы иметь возможность скрыть эту информацию, и это поведение по умолчанию в Windows Server 2003. Если вы все еще можете анонимно запрашивать список общих ресурсов или пользователей, возможно, у вас неправильно настроенный сервер.
Кроме того, если у вас нет клиентов, которым требуется доступ к SMB на ваших общедоступных IP-адресах, вам следует отключить их брандмауэром или, что еще лучше, отключите "Общий доступ к файлам и принтерам для сетей Microsoft" из интерфейса с выходом в Интернет:
если ты необходимость RDP, рассмотрите возможность установки IIS на свой сервер (если вы еще этого не сделали), включив Роль шлюза служб терминалов и установка сертификата / создание правил доступа, разрешающих туннелирование RDP только через HTTPS (без прямого доступа RDP). Таким образом, вы снижаете риск возможных проблем в использовании стека RDP, поскольку аутентификация должна завершиться до обмена информацией, относящейся к RDP. Кроме того, вы защищаете себя от возможных Атака MITM на службы терминалов с помощью проверяемых сертификатов.
Пока ваш сервер предлагает услуги, требующие аутентификации в открытом Интернете, ничто не может помешать любому пользователю во всем мире попробовать комбинации имени пользователя и пароля. Но если ваш сервер настроен только на предложение нужно services, не допускающие утечки информации, обновлены до последней версии с обновлениями безопасности и имеют надежные пароли для всех своих учетных записей пользователей, не о чем беспокоиться (и мало что можно сделать, кроме этого).