Вопросы Теги

Попытки входа в систему Windows Web Server

У нас есть облачный веб-сервер, служащий нескольким веб-сайтам электронной коммерции, который выполняет Windows Server 2008 R2 и IIS 7.5. Мы получаем доступ к серверу через RDC.

После рассмотрения безопасности Windows регистрируются, я вижу много много попыток входа в систему, которые являются событиями:

  • 4776 - Компьютер попытался проверить учетные данные для учетной записи.
  • 4625 - Учетной записи не удалось войти в систему.

Имя пользователя в журнале является 'администратором', которого мы не имеем, мы используем другой вход в систему окон в качестве нашего администратора, и у нас есть сложный пароль. Таким образом, я не волнуюсь по поводу кого-то на самом деле вхождение в наш сервер, вещью, которая волнует меня, являются используемые ресурсы сервера.

Я знаю, что мы можем заблокировать вниз доступ RDC с помощью брандмауэра окон, так, чтобы только наш IP был принят. Однако я не знаю, как эти попытки входа в систему делаются. Я не знаю, можем ли мы различать эти попытки входа в систему и нормальный Трафик HTTP (наши клиенты).

Мы можем использовать брандмауэр окон, чтобы заблокировать эти попытки входа в систему, но не блокировать наш доступ RDC или наших клиентов, посещающих наши веб-сайты..?

ОБНОВЛЕНИЕ:

Из журнала безопасности:

Event 4625 - An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       [our_server_name]$
    Account Domain:     Workgroup
    Logon ID:       0x3e7

Logon Type:         10

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       Administrator
    Account Domain:     [our_server_name]

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0xa44
    Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
    Workstation Name:   [our_server_name]
    Source Network Address: 198.50.172.109
    Source Port:        62246

Detailed Authentication Information:
    Logon Process:      User32 
    Authentication Package: Negotiate
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0
4
задан 10 November 2014 в 15:44
1 ответ

Поскольку вы упомянули удаленный рабочий стол в своем вопросе, я предполагаю, что удаленный рабочий стол открыт для Интернета, и в этом случае почти уверенность в том, что эти неудачные попытки входа в систему исходящие от попыток грубой силы на основе удаленного рабочего стола.

Подробности сообщений о событии 4625 расскажут вам, что на самом деле происходит. Попытка входа на удаленный рабочий стол покажет «ID процесса вызывающего абонента:» как 0x0 и «Имя процесса вызывающего абонента» как - .

Поскольку вы говорите, что не используете аутентификацию на своих веб-сайтах, эти записи не могут иметь отношение к клиентам, обращающимся к веб-сайтам. «Имя процесса вызывающего абонента» будет C: \ Windows \ System32 \ inetsrv \ w3wp.exe при входе в систему на основе IIS, на всякий случай, если вы хотите проверить.

Не открывайте Remote Рабочий стол до всего Интернета. Как минимум заблокируйте его до авторизованных IP-адресов.

Изменить:

Вы можете получить winlogon.exe в качестве «имени процесса вызывающего абонента» для недопустимого удаленного рабочего стола. тоже на основе входа в систему. Я не могу дать вам точное сочетание уровня безопасности RDP и версий Windows, необходимого для этого, но, да, можно с уверенностью сказать, что это неудачный вход в систему удаленного рабочего стола.

2
ответ дан 3 December 2019 в 03:57

Теги

Похожие вопросы