我们有一个 Windows Server,它上面有一个应用程序,它在登录到应用程序时使用域凭据。在最近的一次渗透测试中,测试人员能够使用该应用程序,以便根据应用程序的响应枚举有效的域用户名(对于无效的用户名和无效的密码,它给出了不同的响应)。
应用程序正在修复中,所以它不会透露这些信息,但我也觉得我们应该检测到这种攻击,因为在短时间内有超过 2000,000 次无效用户名尝试。我们没有看到它,即使我们的管理员正在密切关注 Active Directory。显然,故障只出现在安装应用程序的服务器的本地事件日志中。
我的问题:1) 有没有办法让 Active Directory 将这些失败的用户名请求记录在一个中心位置,以便我们可以注意到它们的峰值?
2)如果没有,未来监控和主动检测此类攻击的最佳方法是什么(希望不必购买太多新设备)。
谢谢你的帮助。