Назад | Перейти на главную страницу

Определить атаку сервера Windows? Следует ли мне следить за сервером и блокировать IP-адреса весь день?

При просмотре журнала событий Windows Server 2008 я всегда нахожу множество событий безопасности 4625 / вход в систему следующим образом:

**An account failed to log on.**

Subject:
    Security ID:        SYSTEM
    Account Name:       Sever-Name
    Account Domain:     WORKGROUP
    Logon ID:       0x3e7

Logon Type:         10

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       admin (or administrator or user or any)
    Account Domain:     Sever-Name

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc000006a

Process Information:
    Caller Process ID:  0x1b18
    Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
    Workstation Name:   Sever-Name
    Source Network Address: Some-Remote-IP
    Source Port:        Port#No (many ports in a row)

Detailed Authentication Information:
    Logon Process:      User32 
    Authentication Package: Negotiate

Вышеупомянутые попытки выполняются с одного IP-адреса с использованием всех возможных имен пользователей и портов.

Мои вопросы:

  1. Это регулярные приступы?
  2. Насколько я должен волноваться? Должен ли я отслеживать и блокировать каждый IP-адрес или только когда есть сильная атака?
  3. Блокирует IP-адрес через брандмауэр Windows, выбрав блокировку "Все программы" означает, что с этого IP нельзя будет даже пользоваться интернетом и электронной почтой?
  4. Если ответ на # 3 - да, есть ли способ заблокировать только доступ к компьютеру / RDP? Это достаточно?

Вот что вам нужно сделать:

  1. Настройте VPN для безопасного удаленного доступа к вашему серверу.

  2. Разместите сервер за брандмауэром (аппаратным или программным) и не разрешайте удаленный вход из любого места. Вы должны подключиться к VPN, если хотите подключиться удаленно.

  3. Съешьте сэндвич и наслаждайтесь, насколько вам стало лучше, когда вы сделали это основной меры безопасности.


После этого вам нужно получить книгу по администрированию Windows (или администрированию в целом) и прочитать о правилах брандмауэра. Затем настройте свой соответствующим образом. Только вы знаете, кому и откуда нужно получить доступ к услугам. Найдите время, чтобы посмотреть на все запущенные службы, решить, какие из них должны быть общедоступными (например, в Интернете), а какие нет (например, RDP), и соответствующим образом настройте брандмауэр.

Правда в том, что если вы находитесь под большой атакой DDOS, брандмауэр на самом деле не может вам помочь, поскольку он исчерпает ресурсы при запрете IP-адреса. Хорошее решение - иметь резервный IP-адрес, а лучше всего - настроить балансировку нагрузки.

Если это небольшой ddos, просто отслеживая и блокируя эти IP-адреса, все будет в порядке.