Мои контроллеры домена Windows Server 2008 получают сотни попыток входа в систему в минуту. По большей части IP-адреса отсутствуют в журнале событий, однако те, которые иногда появляются, как правило, поступают с сайта анонимного просмотра. Однако, когда мы блокируем IP-адрес, атака просто перемещается на другой сайт. Все попытки используют легальные имена учетных записей. Это вызывает большое количество блокировок или блокировку учетных записей. Могу ли я настроить брандмауэр Windows, чтобы запретить IP-адреса, которых нет в моей локальной сети?
Вам следует настроить брандмауэр периметра так, чтобы не разрешать внешним IP-адресам доступ к вашим контроллерам домена (откровенно говоря, они не должны получать доступ к каким-либо системам на вашем внутреннем IP-адресе, они должны идти в DMZ). Если вы не получаете IP-адреса в журналах событий, вы можете захватывать пакеты и определять источник этих атак.
Первое, что я сделаю, это отключу ваше интернет-соединение, пока вы не обеспечите безопасность. По крайней мере, это остановит блокировку вашей учетной записи.
Предложение Дэвида о блокировке любого доступа к внутренним IP-адресам и последующей реализации DNZ, вероятно, является правильным путем.
У меня нет системы 2008 года под рукой, но брандмауэр XP (и брандмауэр Server 2003) имеет возможность блокировать доступ к нелокальным учетным записям. Потребуется некоторая настройка, но она есть. Вам просто нужно его включить. В зависимости от сложности вашей сети вам может потребоваться указать сетевой блок, а не использовать поле «локальная сеть», иначе ваш DC не сможет разговаривать с другими DC или регистрировать законных пользователей.
Тот факт, что у них есть законные имена для входа, говорит о том, что у вас есть доступ к Интернету, где они могли получить эти данные. Возможно, ваши порты в Глобальном каталоге видны. С этим намного проще нацелить атаку.
Перейдите к политике брандмауэра на контроллерах домена и настройте их на отбрасывание всего трафика, не поступающего из вашей внутренней сети.
Если вам абсолютно необходим входящий внешний трафик (например, вы представляете малый бизнес и используете SBS или RRAS), разрешите порты, которые им требуются, в каждом конкретном случае.
Эта страница поможет вам настроить соответствующий брандмауэр на вашем сервере 2008:
http://technet.microsoft.com/en-us/network/bb531150.aspx
и если вы хотите сразу перейти к интерфейсу:
http://technet.microsoft.com/en-us/library/cc730971(WS.10).aspx (SF немного ломает URL)