При просмотре журнала событий Windows Server 2008 я всегда нахожу множество событий безопасности 4625 / вход в систему следующим образом:
**An account failed to log on.**
Subject:
Security ID: SYSTEM
Account Name: Sever-Name
Account Domain: WORKGROUP
Logon ID: 0x3e7
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: admin (or administrator or user or any)
Account Domain: Sever-Name
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
Process Information:
Caller Process ID: 0x1b18
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: Sever-Name
Source Network Address: Some-Remote-IP
Source Port: Port#No (many ports in a row)
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Вышеупомянутые попытки выполняются с одного IP-адреса с использованием всех возможных имен пользователей и портов.
Вот что вам нужно сделать:
Настройте VPN для безопасного удаленного доступа к вашему серверу.
Разместите сервер за брандмауэром (аппаратным или программным) и не разрешайте удаленный вход из любого места. Вы должны подключиться к VPN, если хотите подключиться удаленно.
Съешьте сэндвич и наслаждайтесь, насколько вам стало лучше, когда вы сделали это основной меры безопасности.
После этого вам нужно получить книгу по администрированию Windows (или администрированию в целом) и прочитать о правилах брандмауэра. Затем настройте свой соответствующим образом. Только вы знаете, кому и откуда нужно получить доступ к услугам. Найдите время, чтобы посмотреть на все запущенные службы, решить, какие из них должны быть общедоступными (например, в Интернете), а какие нет (например, RDP), и соответствующим образом настройте брандмауэр.
Правда в том, что если вы находитесь под большой атакой DDOS, брандмауэр на самом деле не может вам помочь, поскольку он исчерпает ресурсы при запрете IP-адреса. Хорошее решение - иметь резервный IP-адрес, а лучше всего - настроить балансировку нагрузки.
Если это небольшой ddos, просто отслеживая и блокируя эти IP-адреса, все будет в порядке.