Назад | Перейти на главную страницу

Контроллеры домена AD ломаются

Мои контроллеры домена Windows Server 2008 получают сотни попыток входа в систему в минуту. По большей части IP-адреса отсутствуют в журнале событий, однако те, которые иногда появляются, как правило, поступают с сайта анонимного просмотра. Однако, когда мы блокируем IP-адрес, атака просто перемещается на другой сайт. Все попытки используют легальные имена учетных записей. Это вызывает большое количество блокировок или блокировку учетных записей. Могу ли я настроить брандмауэр Windows, чтобы запретить IP-адреса, которых нет в моей локальной сети?

Вам следует настроить брандмауэр периметра так, чтобы не разрешать внешним IP-адресам доступ к вашим контроллерам домена (откровенно говоря, они не должны получать доступ к каким-либо системам на вашем внутреннем IP-адресе, они должны идти в DMZ). Если вы не получаете IP-адреса в журналах событий, вы можете захватывать пакеты и определять источник этих атак.

Первое, что я сделаю, это отключу ваше интернет-соединение, пока вы не обеспечите безопасность. По крайней мере, это остановит блокировку вашей учетной записи.

Предложение Дэвида о блокировке любого доступа к внутренним IP-адресам и последующей реализации DNZ, вероятно, является правильным путем.

У меня нет системы 2008 года под рукой, но брандмауэр XP (и брандмауэр Server 2003) имеет возможность блокировать доступ к нелокальным учетным записям. Потребуется некоторая настройка, но она есть. Вам просто нужно его включить. В зависимости от сложности вашей сети вам может потребоваться указать сетевой блок, а не использовать поле «локальная сеть», иначе ваш DC не сможет разговаривать с другими DC или регистрировать законных пользователей.

Тот факт, что у них есть законные имена для входа, говорит о том, что у вас есть доступ к Интернету, где они могли получить эти данные. Возможно, ваши порты в Глобальном каталоге видны. С этим намного проще нацелить атаку.

Перейдите к политике брандмауэра на контроллерах домена и настройте их на отбрасывание всего трафика, не поступающего из вашей внутренней сети.

Если вам абсолютно необходим входящий внешний трафик (например, вы представляете малый бизнес и используете SBS или RRAS), разрешите порты, которые им требуются, в каждом конкретном случае.

Эта страница поможет вам настроить соответствующий брандмауэр на вашем сервере 2008:

http://technet.microsoft.com/en-us/network/bb531150.aspx

и если вы хотите сразу перейти к интерфейсу:

http://technet.microsoft.com/en-us/library/cc730971(WS.10).aspx (SF немного ломает URL)