Назад | Перейти на главную страницу

Попытки входа в Windows Web Server

У нас есть облачный веб-сервер, обслуживающий несколько веб-сайтов электронной коммерции, который работает под управлением Windows Server 2008 R2 и IIS 7.5. Доступ к серверу через RDC.

Посмотрев журнал безопасности Windows, я могу увидеть множество попыток входа в систему, которые являются событиями:

Имя пользователя в журнале - «администратор», которого у нас нет, мы используем другой логин Windows в качестве администратора, и у нас есть сложный пароль. Поэтому я не беспокоюсь о том, что кто-то действительно попадет на наш сервер, меня беспокоят используемые ресурсы сервера.

Я знаю, что мы можем заблокировать доступ к RDC с помощью брандмауэра Windows, чтобы принимался только наш IP. Однако я не знаю, как делаются эти попытки входа в систему. Я не знаю, можем ли мы отличить эти попытки входа в систему от обычного HTTP-трафика (наших клиентов).

Можем ли мы использовать брандмауэр Windows, чтобы блокировать эти попытки входа в систему, но не блокировать доступ RDC или наших клиентов, посещающих наши веб-сайты?

ОБНОВИТЬ:

Из журнала безопасности:

Event 4625 - An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       [our_server_name]$
    Account Domain:     Workgroup
    Logon ID:       0x3e7

Logon Type:         10

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       Administrator
    Account Domain:     [our_server_name]

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0xa44
    Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
    Workstation Name:   [our_server_name]
    Source Network Address: 198.50.172.109
    Source Port:        62246

Detailed Authentication Information:
    Logon Process:      User32 
    Authentication Package: Negotiate
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Поскольку вы упоминаете удаленный рабочий стол в своем вопросе, я предполагаю, что у вас есть удаленный рабочий стол, открытый для Интернета, и в этом случае это почти уверенность что эти неудачные попытки входа в систему происходят из-за попыток грубой силы на основе удаленного рабочего стола.

Подробности сообщений Event 4625 расскажут вам, что на самом деле происходит. Попытка входа на удаленный рабочий стол покажет «Идентификатор процесса вызывающего абонента:» как 0x0 и "Имя процесса вызывающего абонента" как -.

Поскольку вы говорите, что не используете аутентификацию на своих веб-сайтах, эти записи не могу быть связанным с клиентами, посещающими веб-сайты. "Имя процесса вызывающего абонента" будет C:\Windows\System32\inetsrv\w3wp.exe при входе в систему на основе IIS, на всякий случай, если вы хотите проверить.

Вы не должны открывать удаленный рабочий стол для всего Интернета. Ограничьте его как минимум авторизованными IP-адресами.

Редактировать:

Вы жестяная банка получить winlogon.exe также в качестве «имени процесса вызывающего абонента» для недопустимых входов в систему на основе удаленного рабочего стола. Я не могу дать вам точное сочетание уровня безопасности RDP и версий Windows, необходимых для этого, но, да, можно с уверенностью сказать, что это неудачные попытки входа на удаленный рабочий стол.