我们有一个云networking服务器,为多个电子商务网站提供服务,运行Windows Server 2008 R2和IIS 7.5。 我们通过RDC访问服务器。
看了Windows安全日志后,我可以看到许多login尝试,这是事件:
日志中的用户名是“pipe理员”,我们没有,我们使用一个不同的Windowslogin作为我们的pipe理员,我们有一个复杂的密码。 所以我不担心有人真的进入我们的服务器,担心我的是服务器资源被使用。
我知道我们可以locking使用Windows防火墙的RDC访问,所以只有我们的IP被接受。 但是我不知道如何进行这些login尝试。 我不知道我们是否可以区分这些login尝试和正常的HTTPstream量(我们的客户)。
我们可以使用Windows防火墙来阻止这些login尝试,但不阻止我们的RDC访问或我们的客户访问我们的网站..?
更新:
从安全日志:
Event 4625 - An account failed to log on. Subject: Security ID: SYSTEM Account Name: [our_server_name]$ Account Domain: Workgroup Logon ID: 0x3e7 Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: [our_server_name] Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0xa44 Caller Process Name: C:\Windows\System32\winlogon.exe Network Information: Workstation Name: [our_server_name] Source Network Address: 198.50.172.109 Source Port: 62246 Detailed Authentication Information: Logon Process: User32 Authentication Package: Negotiate Transited Services: - Package Name (NTLM only): - Key Length: 0 既然你提到远程桌面在你的问题,我会假设你有远程桌面打开到互联网,在这种情况下,几乎可以肯定 ,这些失败的login是来自基于远程桌面的暴力试图。
事件4625消息的细节将告诉你实际发生的事情。 远程桌面login尝试将显示“调用者进程ID:”为0x0 ,“调用者进程名称”显示为- 。
既然你说你没有在你的网站上使用任何authentication,这些条目就不能和访问网站的客户端相关联。 “调用者进程名称”将在基于IIS的login上的C:\Windows\System32\inetsrv\w3wp.exe ,以防万一您想要检查。
您不应该打开远程桌面到整个互联网。 将其locking到最低限度的授权IP地址。
编辑:
您也可以将winlogon.exe作为无效的基于远程桌面的login的“调用者进程名称”。 我无法为您提供RDP安全层和必要的Windows版本的确切组合,但是,可以肯定地说,这些远程桌面login失败。