У нас есть облачный веб-сервер, служащий нескольким веб-сайтам электронной коммерции, который выполняет Windows Server 2008 R2 и IIS 7.5. Мы получаем доступ к серверу через RDC.
После рассмотрения безопасности Windows регистрируются, я вижу много много попыток входа в систему, которые являются событиями:
Имя пользователя в журнале является 'администратором', которого мы не имеем, мы используем другой вход в систему окон в качестве нашего администратора, и у нас есть сложный пароль. Таким образом, я не волнуюсь по поводу кого-то на самом деле вхождение в наш сервер, вещью, которая волнует меня, являются используемые ресурсы сервера.
Я знаю, что мы можем заблокировать вниз доступ RDC с помощью брандмауэра окон, так, чтобы только наш IP был принят. Однако я не знаю, как эти попытки входа в систему делаются. Я не знаю, можем ли мы различать эти попытки входа в систему и нормальный Трафик HTTP (наши клиенты).
Мы можем использовать брандмауэр окон, чтобы заблокировать эти попытки входа в систему, но не блокировать наш доступ RDC или наших клиентов, посещающих наши веб-сайты..?
ОБНОВЛЕНИЕ:
Из журнала безопасности:
Event 4625 - An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: [our_server_name]$
Account Domain: Workgroup
Logon ID: 0x3e7
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: [our_server_name]
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0xa44
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: [our_server_name]
Source Network Address: 198.50.172.109
Source Port: 62246
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Поскольку вы упомянули удаленный рабочий стол в своем вопросе, я предполагаю, что удаленный рабочий стол открыт для Интернета, и в этом случае почти уверенность в том, что эти неудачные попытки входа в систему исходящие от попыток грубой силы на основе удаленного рабочего стола.
Подробности сообщений о событии 4625 расскажут вам, что на самом деле происходит. Попытка входа на удаленный рабочий стол покажет «ID процесса вызывающего абонента:» как 0x0
и «Имя процесса вызывающего абонента» как -
.
Поскольку вы говорите, что не используете аутентификацию на своих веб-сайтах, эти записи не могут иметь отношение к клиентам, обращающимся к веб-сайтам. «Имя процесса вызывающего абонента» будет C: \ Windows \ System32 \ inetsrv \ w3wp.exe
при входе в систему на основе IIS, на всякий случай, если вы хотите проверить.
Не открывайте Remote Рабочий стол до всего Интернета. Как минимум заблокируйте его до авторизованных IP-адресов.
Изменить:
Вы можете получить winlogon.exe
в качестве «имени процесса вызывающего абонента» для недопустимого удаленного рабочего стола. тоже на основе входа в систему. Я не могу дать вам точное сочетание уровня безопасности RDP и версий Windows, необходимого для этого, но, да, можно с уверенностью сказать, что это неудачный вход в систему удаленного рабочего стола.