我的Windows Server 2008域控制器每分钟获得数百次login尝试。 大多数情况下,IP地址不在事件日志中,但偶尔出现的IP地址往往来自匿名冲浪网站。 但是,当我们阻止一个IP地址时,攻击就会移动到另一个站点。 所有的尝试都使用合法的帐户名称。 这导致了很高的数字或帐户locking。 我可以configurationWindows防火墙来拒绝不在本地networking上的IP地址吗?
你应该configuration你的外围防火墙不允许非内部IP访问你的域控制器(坦率地说,他们不应该访问你的内部IP上的任何系统,他们应该去DMZ)。 如果您没有在事件日志中获取IP,则可能需要捕获数据包并确定这些攻击的来源。
首先我要做的是断开你的互联网连接,直到你有一些安全的地方。 至less这将停止您的帐户locking。
Davidbuild议阻止对内部IP的所有访问,然后实施一个DNZ,这可能是正确的做法。
我没有2008系统,但XP防火墙(和Server 2003防火墙)有一个选项来阻止访问非本地帐户。 这将需要一些调整,但它在那里。 你只需打开它。 根据networking的复杂程度,您可能需要指定一个networking块,而不是使用“本地networking”点击框,否则您的数据中心将无法与其他数据中心通话或logging合法用户。
他们拥有合法的login名称这一事实表明你有一个面向互联网的表面,他们能够获取这些数据。 也许您的全局编录端口是可见的。 因此,瞄准攻击要容易得多。
转到您的域控制器上的防火墙策略,并将其configuration为删除所有不是来自内部networking的stream量。
如果您绝对需要一些外部stream量进入(例如,您是一家小企业,正在运行SBS或RRAS),请根据具体情况允许所需的端口。
此页面将帮助您开始在2008服务器上configuration适当的防火墙:
http://technet.microsoft.com/en-us/network/bb531150.aspx
如果你想直接进入界面:
http://technet.microsoft.com/en-us/library/cc730971(WS.10).aspx(SF打破了一下url)