Я просто просматривал журналы одного из моих серверов и заметил, что было множество неудачных попыток входа для имени пользователя Administrator, owner и Admin. Я предполагаю, что это боты, поскольку они появляются почти каждую секунду, но мой вопрос: что вы обычно с этим делаете?
Я новичок в безопасности серверов, но, судя по тому, что я читал, большинство людей не слишком озабочены подобными вещами.
Когда вы пытаетесь подключиться к удаленному рабочему столу в системе Windows, разве у вас не остается только несколько попыток, прежде чем вы будете заблокированы на некоторое время? У меня 63 минуты или неудачные попытки входа каждые ~ 1,3 секунды с одного и того же IP-адреса 69.41.252.68.
Параметры политики блокировки учетной записи не включены по умолчанию. Вам нужно будет включить их вручную. Если это автономный сервер (похоже, что это так), вы можете включить параметры политики блокировки учетной записи, отредактировав локальную политику безопасности из административных инструментов. Если этот сервер присоединен к домену, вы можете включить параметры политики блокировки учетной записи, отредактировав локальную политику безопасности из административных инструментов или используя групповую политику в домене.
Похоже, эти события генерируются попытками входящего RDP-соединения (хотя вы этого не указали). Вы можете использовать несколько подходов, чтобы справиться с этим:
A. Заблокируйте неправильный IP-адрес (а) на вашем сетевом маршрутизаторе или брандмауэре.
B. Заблокируйте неправильный IP-адрес (а) в брандмауэре Windows, установив Область действия правила RDP-in, чтобы разрешить соединения только из определенного набора IP-адресов или сетей.