防止VPS上的logintypes2和3攻击
对不起,如果这是之前问,但我已经看了其他问题,找不到匹配。
在我的Win Server 2008 VPS(来自不同的IP)上,我得到了很多Logon Type 2和3攻击。 我一直在想知道处理这些问题的最好方法是什么?
我也注意到,攻击者使用新创build的pipe理员用户名(不是默认的“Administrator”),所以他们以某种方式从我的VPS Active Directory获取这些信息。 我有一个RDP访问启用(但不是通过标准的RDP端口)。 我知道这是一个安全问题,但我需要访问。
作为一个便笺:使用ShieldsUp,我发现端口135(DCOM服务控制pipe理器)和445(Microsoft目录服务)向全世界开放。 这可能是攻击者获取我的帐户名称的方式吗? closures这些端口是否安全无需将自己locking在我的VPS之外?
谢谢你的提示。
更新:我使用自定义防火墙规则阻止端口135和445。 我还在机器上创build了一个新的testing帐户,以查看攻击者是否还在获取AD数据。 正如@ syneticon-djbuild议的,我也closures了文件和打印机共享。 现在我正在等待,看是否有新的事件出现在事件日志中。
更新2:运行这个configuration几天后,我没有注意到在我的事件日志中有任何新的攻击。 所以我想阻塞+禁用共享的端口做的伎俩!
用户和共享列表确实已经通过SMB向匿名用户提供。 但是这已经很久以前了 – Windows NT已经收到了一个修复程序 ,可以隐藏这些信息,这是Windows Server 2003的默认行为。如果您仍然可以匿名查询共享或用户列表,configuration错误的服务器。
除此之外,如果您的客户端没有需要SMB访问的客户端,则应该防火墙closures,或者更好地从面向Internet的界面中解除“Microsoftnetworking的文件和打印共享” :
如果您需要 RDP,请考虑在服务器上安装IIS(如果您尚未安装),启用terminal服务网关angular色并设置证书/创build访问规则,以允许仅通过HTTPS进行RDP隧道传输(无直接RDP访问)。 通过这种方式,您可以降低RDP堆栈被攻破时可能遇到的问题,因为在RDP相关信息交换之前,authentication必须完成。 另外,通过使用可validation的证书,您可以保护自己免受针对terminal服务的可能的MITM攻击 。
只要你的服务器提供的服务需要开放的互联网validation,就不会有任何东西阻止世界各地的用户尝试用户名/密码组合。 但是,如果您的服务器被configuration为只提供必要的服务,而不是泄露信息,是最新的安全更新,并为其所有用户帐户具有强大的密码,没有太多担心(并没有太多可以做从那个)。