5

Я занимался рутинным обслуживанием Windows Server 2008, которым управлял. Просматривая журнал безопасности в интерфейсе журнала событий Windows, я вижу пакет из 50-200 неудачных входов в систему, которые происходят в течение 15 минут. Таким образом, очевидно, что это не тот, кто просто забыл свой пароль.

Я знаю, что есть много ботов, пингующих серверы и делающих выстрелы в брандмауэрах. У меня вопрос, есть ли какая-нибудь палка, чтобы измерить, насколько серьезна проблема? Что является нормальным для Windows Server, работающего за брандмауэром?

1 ответ1

5

Полагаю, я отвечу на то, что я узнал за 6 или около того месяцев, с тех пор как я разместил этот вопрос.

Я наблюдал за Windows Server, подключенным к статическому IP-адресу, с установленной базовой безопасностью (брандмауэр, отключение ненужных служб Windows и т.д.). Я обнаружил, что если я оставлю FTP, используя IIS 6, я получу от 30000 до 60000 попыток случайного входа в месяц. Некоторые месяцы были хуже, чем другие, массовые попытки входа в систему были любой формы и размера. Они перепробовали много логинов, иногда много пробовали одно и то же.

Когда я остановил службу FTP, попытки входа прекратились.

Мы также реализовали надежную процедуру резервного копирования журнала событий, чтобы крупные попытки входа в систему не могли быть использованы для прикрытия других действий путем засорения журнала событий.

Я приму другие ответы, если у кого-то еще есть опыт с этим. В противном случае я оставлю этот ответ для всех, кто заинтересован.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .