服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 确定Windows服务器的攻击? 我应该全天监控服务器并阻止IP吗?
Intereting Posts
活动目录:如何让一个小组pipe理另一个小组 你如何说服用户放弃个人文件夹? 确定在Windows XP / 2003中保留的端口以及保留了哪些服务 木偶不拉Hiera价值 在Tomcat连接器中添加“address = 127.0.0.1”后,JIRA变得不可访问 VPN冗余,故障切换 正确的方法从机架的前部到后部运行CAT电缆? 将邮件队列导出到其他服务器 在2003R2中通过组策略将_default_打印机设置为XP 通过SSH进行组播 IPv6和LXC连接 Oracle IIg Windows 64安装 503服务不可用debuggingPHP文件 什么诊断工具在Ubuntu上诊断问题? OpenVZ具有vzctl可执行文件,对于lxc有什么要求

确定Windows服务器的攻击? 我应该全天监控服务器并阻止IP吗?

在查看Windows Server 2008事件日志的同时,我总是发现许​​多安全事件4625 /login如下: 

**An account failed to log on.** Subject: Security ID: SYSTEM Account Name: Sever-Name Account Domain: WORKGROUP Logon ID: 0x3e7 Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: admin (or administrator or user or any) Account Domain: Sever-Name Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc000006a Process Information: Caller Process ID: 0x1b18 Caller Process Name: C:\Windows\System32\winlogon.exe Network Information: Workstation Name: Sever-Name Source Network Address: Some-Remote-IP Source Port: Port#No (many ports in a row) Detailed Authentication Information: Logon Process: User32 Authentication Package: Negotiate

上面的尝试来自使用所有可能的用户名和端口的单一IP。

我的问题是:

  1. 这些常规攻击?
  2. 我有多担心? 我应该监控和阻止每一个IP或只有当有巨大的攻击
  3. 阻止IP通过Windows防火墙select阻止“所有程序”意味着这个IP将无法使用networking和电子邮件服务?
  4. 如果#3的答案是肯定的,是否有办法阻止机器/ RDP访问? 够了吗?

这是你需要做的:

  1. 设置一个VPN以安全地远程访问您的服务器。

  2. 将服务器放置在防火墙(硬件或软件)的后面,并且不允许从任何地方进行远程login。 如果要远程连接,则必须连接到VPN。

  3. 吃一个三明治,享受现在你已经完成了这些基本的安全预防措施。

在完成之后,您需要获得有关Windowspipe理(或一般pipe理)的书籍,并阅读防火墙规则。 然后适当地configuration你的。 只有你知道谁需要从哪里访问什么服务。 花点时间看看所有正在运行的服务,决定哪些服务需要公开(比如web),哪些服务不需要(比如RDP),并相应地configuration你的防火墙。

事实是,如果你在一个很大的DDOS攻击下,防火墙实际上不能帮你,因为它将在资源不足的同时禁止ip地址。 好的解决scheme是有一个故障转移IP,最好是有一个负载平衡设置..

如果这是一个小的ddos只需跟踪和阻止这些ips你会没事的..