Краткий обзор событий за последние 2 недели: мы заметили, что наш SQL Server становится ненадежно медленным. Это критически важная машина, которая используется одной из наших локальных суперкомпьютерных групп для выполнения запросов. Они часто работают за пределами нашего университета, чтобы сотрудничать с другими. Мы также предоставляем их сотрудникам прямой доступ, и, таким образом, он находится в публичном IP-пространстве.
Заметив из журналов безопасности SQL и Windows, что были попытки получить доступ из региона Азии / Китая, мы ужесточили ситуацию и теперь разрешаем порт 1433 SQL и доступ RDP только к нашей сети кампуса и кампусам наших сотрудников. .
Однако, похоже, попытки взлома все еще продолжаются. Для входа на нашу машину SQL все еще делается от 10 до 20 попыток в минуту. Когда я просматриваю журнал событий безопасности в средстве просмотра событий, это огромная стена сбоев аудита.
Все они имеют идентификатор события 4776, и подробностей здесь немного. Вот как выглядит образец журнала событий:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: marvin
Source Workstation: FATBOY
Error Code: 0xc0000064
После некоторых копаний кажется, что кто-то пытается войти в систему с несуществующей учетной записью. Имена учетных записей, которые они используют, различаются, и совершенно очевидно, что это попытка хакера. Они используют такие имена, как администратор, администратор, системный администратор, бухгалтерия, офис, биллинг, среди прочего.
Теперь у меня вопрос: есть ли способ предотвратить или усилить безопасность, чтобы люди за пределами моей сети не могли вызвать событие ATTEMPT для входа на мой сервер? Я ошибочно предположил, что все, что мне нужно сделать, это усилить безопасность порта SQL и RDP через брандмауэр Windows. Для меня становится очевидным, что они все еще могут попытаться получить доступ к машине без использования RDP. Есть ли у кого-нибудь подробности о том, как это возможно, и есть ли способ остановить это?
Я не очень давно работаю системным администратором, а мой директор уехал в отпуск. Я приложил все усилия для исследования и все еще не могу ничего придумать. На прошлой неделе в журналах событий отображались более полезные сведения, такие как IP-адрес источника, что позволило мне определить, откуда они исходили, и, таким образом, сделать вывод, что это была явная попытка взлома.
Текущий шквал попыток входа в систему настолько замедляет работу, что запросы наших клиентов теряют время ожидания. Мы будем очень благодарны за любую помощь или понимание этого.
Спасибо!
Поставьте сетевой брандмауэр перед сервером. Использование только брандмауэра Windows похоже на то, что хранилище банка закрыто, а входная дверь открыта. Вы позволили людям войти в банк, и это лишь вопрос времени, когда они взломают хранилище.
В вашем сетевом брандмауэре (который вы собираетесь установить) разрешайте трафик только к портам на сервере, который требуется вашим партнерам для подключения (SQL - RDP), и только из диапазона их IP-адресов.
Запустите захват пакета, чтобы получить более подробную информацию о попытках взлома. Вы можете запустить это на сервере или на другой рабочей станции, если вы зеркалируете порт коммутатора сервера на порт коммутатора рабочей станции.
Вы разрешили группе людей, которых вы, возможно, не проверяли, доступ к вашему серверу. Вы также разрешили их сетевой (непроверенный) доступ к вашему серверу. Любой из них мог быть источником попыток взлома. Временно заблокируйте их доступ, чтобы узнать, исходят ли попытки из их сетей.
Да. Это называется брандмауэром, и администратор должен знать это автоматически. Установите брандмауэр, заблокируйте весь трафик, который вам не нужен. ЯВНО вы этого не делаете.
Кроме того - нет.