我们在数据中心托管了一台 Windows 2012 R2 服务器,我们使用 RDP 进行管理。已启用自动更新。
管理员帐户不允许 RDP 登录,并且有多个用户帐户启用了 RDP。
我最近在日志中发现,正在进行暴力攻击,目标是服务器上实际存在的帐户之一。仔细查看日志,我发现最近至少有 3 个帐户被锁定。这不可能是巧合,因为帐户名称很复杂。
我现在已经限制了与我公司 IP 的连接,问题解决了(我知道以前应该这样做,但我们有理由不这样做)。
但是,我仍然想知道攻击者是如何获得帐户名称的。它是 RDP 的已知安全漏洞吗?
编辑:有一些元素我没有提到:这个服务器是一个虚拟机,这个虚拟机和虚拟机管理程序(Windows 2012 R2 也是)都在路由器后面,共享相同的公共 IP。RDP 使用一个非默认的公共端口进行 NAT,这是唯一的 NAT 端口。这台机器托管一个 HTTP 服务器 (kestrel),只能通过安装在另一台机器上的反向代理 (nginx) 访问。
rdp remote-desktop brute-force-attacks attacks windows-server-2012