Log Keamanan Windows dan Kegagalan Audit


5

Saya sedang melakukan pemeliharaan rutin pada kotak Windows Server 2008 yang saya kelola. Ketika melihat Security Log di antarmuka Windows Event Log saya melihat ledakan 50-200 gagal login yang terjadi selama rentang 15 menit. Jadi sudah jelas ini bukan seseorang yang baru saja lupa kata sandi mereka.

Saya tahu ada banyak bot di luar sana server ping dan mengambil gambar di firewall. Pertanyaan saya adalah apakah ada tongkat untuk mengukur seberapa buruk masalahnya? Apa yang normal untuk Windows Server yang berjalan di belakang firewall?

Jawaban:


5

Saya kira saya akan menjawab apa yang telah saya pelajari dalam 6 bulan sejak saya memposting pertanyaan ini.

Saya memantau Windows Server, terhubung ke alamat IP statis, dengan keamanan dasar di tempat (firewall, mematikan layanan windows yang tidak perlu, dll). Saya menemukan bahwa jika saya meninggalkan FTP, menggunakan IIS 6 berjalan, saya akan mendapatkan 30.000 hingga 60.000 upaya login acak sebulan. Beberapa bulan lebih buruk daripada yang lain, upaya masuk massal datang dalam berbagai bentuk dan ukuran. Mereka mencoba banyak nama login, terkadang mencoba nama yang sama.

Ketika saya menghentikan layanan FTP, upaya masuk berhenti.

Kami juga menerapkan prosedur yang solid untuk membuat cadangan Event Log sehingga upaya login yang besar tidak dapat digunakan untuk menutupi aktivitas lain dengan menyumbat Event Log.

Saya akan menerima jawaban lain jika ada yang punya pengalaman dengan ini. Kalau tidak, saya akan meninggalkan jawaban ini untuk siapa pun yang tertarik.


4
jika ada yang menemukan pertanyaan ini mencari jawaban, diskusi yang jauh lebih baik muncul di ServerFault: serverfault.com/questions/244614/…
Justin C
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.