我新购买的
Windows 2008虚拟服务器现在在其安全日志中有3.500个条目(三天内),其中大多数是事件ID 4625:“帐户无法登录”.
登录尝试显得相当快 – 每秒大约10-20次尝试.我想这是一次攻击 – 这是正确的吗?
它似乎并不像攻击者(我只是使用这个名字)成功登录并强制破解密码应该不容易,因为它很长很复杂……
但是,我想知道我能系统地做些什么吗?如何更改rdp的端口?硬件防火墙可能会有所帮助吗?
此外,服务器现在只托管一个甚至不公开的网站,所以我没想到这么快就有这种流量.有点含糊:当网站上线时,这会变得更糟吗?
可能.然后,它也可能是一个尝试在密码已更改或过期的凭据下登录的应用程序.
您应该仔细观察事件并建立:
– 发生了什么样的登录?看看它是否是RDP或其他类型的访问
– 正在尝试哪些帐户名称(如果它是您无法识别的随机帐户名称,或通过名称的A-Z运行,那么肯定是攻击)
除此之外,验证您的服务器的RDP是否可以公开访问.如果是这样,你真的需要吗?如果您的虚拟服务器位于您的组织内,请锁定公共防火墙以防止这种情况发生(或要求负责防火墙的管理员执行此操作).如果它在云中,则提供商应提供用于控制网络访问的接口(虚拟防火墙).
如果网络上的服务器没有位于适当的防火墙后面,则会遇到相当严重的安全问题.这些框应仅在操作所需的端口上可用,因此,如果提供SSL,则基本Web服务盒应仅对端口80和443具有出站防火墙规则.
原文地址:https://www.jb51.cc/windows/367832.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
