我新购买的 Windows 2008 虚拟服务器现在在其安全日志中有 3.500 个条目(三天内),其中大部分是事件 ID 4625:“帐户登录失败”。
登录尝试看起来相当快 - 每秒大约 10-20 次尝试。我想这是一次攻击——对吗?
攻击者(我将仅使用此名称)似乎并没有成功登录,并且暴力破解密码应该不容易,因为它又长又复杂......
但是,我想知道是否有一些我可以系统地做的事情?改变rdp的端口怎么样?硬件防火墙可能会有所帮助?
此外,服务器现在只托管一个尚未公开的网站,所以我没想到这么快就有这种流量。有点模糊:当网站上线时,情况会变得更糟吗?
可能。再一次,它也可能是一个应用程序试图在密码已更改或过期的凭据下登录。
您应该仔细查看事件并确定: - 正在发生什么样的登录?查看它是 RDP 还是其他类型的访问 - 正在尝试使用哪些帐户名称(如果是您不认识的随机帐户名称,或者通过名称的 AZ 运行,那么肯定是攻击)
除此之外,请验证您的服务器的 RDP 是否可以公开访问。如果是这样,你真的需要吗?如果您的虚拟服务器在您的组织内,请锁定您的公共防火墙以防止这种情况发生(或要求负责防火墙的管理员这样做)。如果它在云端,提供商应该提供用于控制网络访问的接口(虚拟防火墙)。
如果您在网络上有可用的服务器没有位于适当的防火墙后面,那么您将遇到一个非常严重的安全问题。这些框应该仅在操作所需的端口上可用,因此基本的 Web 服务框应该只有端口 80 和 443 的防火墙规则出站(如果提供 SSL)。
永远不应该从另一个方向接近安全性(开始完全允许,然后只锁定特定项目)。同样,迁移到非标准端口只会略微提高安全性。
很有可能您的 IP 已被扫描并检测到 RDP,并且有人决定尝试暴力破解它。一旦您的网站上线,尝试的数量可能会增加,尽管无法预测未来。
您应该能够从密钥
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下方更改 RDP 端口。PortNumber安装防火墙时请注意不要将自己锁在门外。据我所知,您可以通过配置帐户锁定策略来设置最大登录尝试次数。
我的 VPS 也遇到了同样的问题——除了 RDP,他们还试图远程入侵 SQL Server。结果,在几个月的时间里,他们逐渐用不断扩大的日志填满了我的磁盘空间!
我的解决方案是限制谁可以通过 IP 地址连接 - 这些请求现在属于第一个障碍。
正如已经提到的,您还可以更改每个服务的端口 - 结合 IP 地址可能值得这样做 - 你不能太安全!
我也赞同 Chris对最小特权原则的认可……锁定一切,并逐渐开放——但尽可能少。