У нас есть облачный веб-сервер, обслуживающий несколько веб-сайтов электронной коммерции, который работает под управлением Windows Server 2008 R2 и IIS 7.5. Доступ к серверу через RDC.
Посмотрев журнал безопасности Windows, я могу увидеть множество попыток входа в систему, которые являются событиями:
Имя пользователя в журнале - «администратор», которого у нас нет, мы используем другой логин Windows в качестве администратора, и у нас есть сложный пароль. Поэтому я не беспокоюсь о том, что кто-то действительно попадет на наш сервер, меня беспокоят используемые ресурсы сервера.
Я знаю, что мы можем заблокировать доступ к RDC с помощью брандмауэра Windows, чтобы принимался только наш IP. Однако я не знаю, как делаются эти попытки входа в систему. Я не знаю, можем ли мы отличить эти попытки входа в систему от обычного HTTP-трафика (наших клиентов).
Можем ли мы использовать брандмауэр Windows, чтобы блокировать эти попытки входа в систему, но не блокировать доступ RDC или наших клиентов, посещающих наши веб-сайты?
ОБНОВИТЬ:
Из журнала безопасности:
Event 4625 - An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: [our_server_name]$
Account Domain: Workgroup
Logon ID: 0x3e7
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: [our_server_name]
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0xa44
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: [our_server_name]
Source Network Address: 198.50.172.109
Source Port: 62246
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Поскольку вы упоминаете удаленный рабочий стол в своем вопросе, я предполагаю, что у вас есть удаленный рабочий стол, открытый для Интернета, и в этом случае это почти уверенность что эти неудачные попытки входа в систему происходят из-за попыток грубой силы на основе удаленного рабочего стола.
Подробности сообщений Event 4625 расскажут вам, что на самом деле происходит. Попытка входа на удаленный рабочий стол покажет «Идентификатор процесса вызывающего абонента:» как 0x0
и "Имя процесса вызывающего абонента" как -
.
Поскольку вы говорите, что не используете аутентификацию на своих веб-сайтах, эти записи не могу быть связанным с клиентами, посещающими веб-сайты. "Имя процесса вызывающего абонента" будет C:\Windows\System32\inetsrv\w3wp.exe
при входе в систему на основе IIS, на всякий случай, если вы хотите проверить.
Вы не должны открывать удаленный рабочий стол для всего Интернета. Ограничьте его как минимум авторизованными IP-адресами.
Редактировать:
Вы жестяная банка получить winlogon.exe
также в качестве «имени процесса вызывающего абонента» для недопустимых входов в систему на основе удаленного рабочего стола. Я не могу дать вам точное сочетание уровня безопасности RDP и версий Windows, необходимых для этого, но, да, можно с уверенностью сказать, что это неудачные попытки входа на удаленный рабочий стол.