سؤال سجل أمان Windows وفشل تدقيق


كنت أفعل بعض الصيانة الروتينية على Windows Server 2008 المربع الذي أقوم بإدارته. عند النظر إلى سجل الأمان في واجهة سجل أحداث Windows ، أرى انفجارًا من 50 إلى 200 تسجيل دخول فاشلة تحدث على مدى 15 دقيقة. لذا من الواضح أن هذا ليس شخصًا قد نسي كلمة المرور الخاصة بهم.

وأنا أعلم أن هناك الكثير من روبوتات هناك pinging الخوادم وأخذ لقطات في جدران الحماية. سؤالي هو ما إذا كان هناك أي عصا لقياس مدى سوء المشكلة؟ ما هو المعتاد لويندوز سيرفر يعمل خلف جدار ناري؟


5
2017-10-19 01:39


الأصل




الأجوبة:


أفترض أنني سأجيب عن ما تعلمته في الأشهر الستة أو منذ أن نشرت هذا السؤال.

قمت بمراقبة خادم Windows ، متصلاً بعنوان IP ثابت ، مع أمان أساسي في مكانه (جدار الحماية ، إيقاف تشغيل خدمات Windows غير الضرورية ، إلخ). وجدت أنه إذا تركت FTP ، باستخدام IIS 6 قيد التشغيل ، فسوف أحصل على 30،000 إلى 60،000 محاولات تسجيل دخول عشوائي في الشهر. بعض الأشهر كانت أسوأ من غيرها ، وجاءت محاولات تسجيل الدخول بالجملة في كل شكل وحجم. حاولوا الكثير من أسماء الدخول ، حاول في بعض الأحيان نفس الاسم الكثير.

عندما توقفت عن خدمة FTP توقفت محاولات تسجيل الدخول.

ونفذنا أيضًا إجراءً صلبًا للنسخ الاحتياطي لسجل الأحداث بحيث لا يمكن استخدام محاولات تسجيل الدخول الكبيرة للتغطية على أي نشاط آخر عن طريق سد سجل الأحداث.

سوف أقبل إجابات أخرى إذا كان أي شخص آخر لديه أي خبرة في هذا. وإلا سأترك هذه الإجابة لأي شخص مهتم.


5
2018-03-06 01:44



إذا كان أي شخص يتعثر في هذا السؤال يبحث عن إجابة ، فإن مناقشة أفضل بكثير ظهرت في ServerFault: serverfault.com/questions/244614/... - Justin C