Назад | Перейти на главную страницу

Большое количество событий безопасности в журнале

Около недели назад мы переместили приложение с одного сервера на другой (с Windows Server 2008 на Windows Server 2008 R2, разные DC, но той же компании). На этом сервере 12 веб-сайтов, но все они с очень низким трафиком (<200 посещений в день).

С тех пор, как мы переехали, я заметил, что журнал безопасности в разделе «События -> Журналы Windows -> Безопасность» заполнен отбрасыванием пакетов. Большинство из них пытается получить доступ к портам 25, 17 или некоторым кажущимся случайным портам> 1024; это довольно разбросано. Некоторые из них поступают от уважаемых компаний, таких как Constant Contact (например, IP 208.75.123.132), некоторые - от компаний, о которых я лично не слышал, например Cogento 38.96.220.83, но которые кажутся уважаемыми. Конечно, есть случайные IP-адреса, которые ни на что не указывают. Все эти порты заблокированы и / или не используются.

Таких записей так много (примерно одна или две в секунду в среднем), что журнал заполняется примерно за полтора дня. С предыдущим сервером, на котором размещались те же сайты, я мог вернуться на два месяца назад.

Унаследовал ли я (с переездом) IP-адрес, который использовался неизвестно для чего, и теперь все эти службы подключаются ко мне в ожидании старых служб, или происходит что-то еще?

Есть предположения? Спасибо!

РЕДАКТИРОВАТЬ: я должен был упомянуть об этом, все записи в журналах событий - это «Событие 5152 - платформа фильтрации Windows заблокировала пакет».

EDIT2: Вот статья, которая затрагивает ту же проблему, что и я. Важная часть - отключить аудит отброшенных пакетов с помощью auditpol, но также требуется довольно много времени, пока вы не увидите, что он работает, если вы не перезагрузитесь немедленно. Я не уверен, почему это так работает, но меня это определенно сбило с толку.

РЕДАКТИРОВАТЬ 3: Что в статье не указано, для Windows 7 / Server 2008 R2 вам нужно перейти в Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> и включить «Аудит: принудительные настройки подкатегории политики аудита (Windows Vista или более поздняя версия). для переопределения параметров категории политики аудита ". По умолчанию он должен быть включен, но в моем случае опция «не определена» не работала, мне пришлось включить ее вручную; больше информации Вот. Требуется перезагрузка.

Вы видели эту статью?

Платформа фильтрации Windows заблокировала пакет

или я только что нашел этот абзац

Я обнаружил, что проблема заключается в скрытой настройке gpo в политике домена по умолчанию. Конфигурация компьютера, политики, параметры Windows, параметры безопасности, брандмауэр Windows с расширенными параметрами, профиль домена, ведение журнала. Щелкните Настроить и установите для журнала отброшенных пакетов и журнала успешных подключений значение Нет.

вы также должны блокировать все, кроме порта 80,443, через брандмауэр :)

Добро пожаловать в Интернет, возможно, ваш IP-адрес находится в ряду известных высокоскоростных компьютеров с очень хорошей сетевой настройкой. Вас просканируют и попробуют. У меня было то же самое на одном из моих серверов, ничего не могу с этим поделать, обычно, когда потенциальные хакеры видят, что нет ответа, они сдаются через некоторое время.

Вы всегда можете попробовать активно отказаться, вместо того, чтобы бросать, посмотрите, поможет ли это.