Jus*_*n C 5 windows-server-2008 login event-log
我正在我管理的 Windows Server 2008 机器上做一些日常维护。在 Windows 事件日志界面中查看安全日志时,我看到在 15 分钟内发生了 50-200 次登录失败。所以很明显这不是忘记密码的人。
我知道有很多 bot 可以 ping 服务器并攻击防火墙。我的问题是是否有任何尺码可以衡量问题的严重程度?对于在防火墙后面运行的 Windows Server,什么是正常的?
我想我会回答我在发布这个问题后 6 个月左右的时间里学到的东西。
我监控了一个 Windows 服务器,它连接到一个静态 IP 地址,具有基本的安全性(防火墙、关闭不必要的 Windows 服务等)。我发现如果我离开 FTP,使用 IIS 6 运行,我将获得 30,000 到 60,000 随机登录尝试一个月。有些月份比其他月份更糟糕,批量登录尝试的形式和规模各不相同。他们尝试了很多登录名,有时也尝试了很多相同的名称。
当我停止 FTP 服务时,登录尝试也停止了。
我们还实施了一个可靠的程序来备份事件日志,以便无法通过阻塞事件日志来使用大量登录尝试来掩盖其他活动。
如果其他人对此有任何经验,我会接受其他答案。否则我会把这个答案留给感兴趣的人。
| 归档时间: |
|
| 查看次数: |
3409 次 |
| 最近记录: |