1. Zuhause
  2. Frage und Antwort
  3. Windows Server-Sicherheit

Windows Server-Sicherheit

2016-04-02 9 views
1

In der Ereignisanzeige von Windows Server wurden fast 30.000 Protokolle mit der Ereignis-ID 4625 gefunden. Bereitgestellt ein Detail. Jeder ist ähnlich mit verschiedenen Anmeldeart und Prozessnamen. In der Firewall haben wir jeden Port außer drei RDP, DB und App Server blockiert. Was ist der Grund dafür? Wir haben das Gefühl, dass jemand den Server angreift und den Server ausfällt. Ist es wahr ? Wie kontrolliert man diese Bedrohung? Jede Minute 100s Ereignisgenerierung.Windows Server-Sicherheit

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System> 
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
    <EventID>4625</EventID> 
    <Version>0</Version> 
    <Level>0</Level> 
    <Task>12544</Task> 
    <Opcode>0</Opcode> 
    <Keywords>0x8010000000000000</Keywords> 
    <TimeCreated SystemTime="2016-04-02T04:59:46.124337300Z" /> 
    <EventRecordID>428136</EventRecordID> 
    <Correlation /> 
    <Execution ProcessID="468" ThreadID="532" /> 
    <Channel>Security</Channel> 
    <Computer>application-server</Computer> 
    <Security /> 
    </System> 
- <EventData> 
    <Data Name="SubjectUserSid">S-1-5-18</Data> 
    <Data Name="SubjectUserName">APPLICATION-SER$</Data> 
    <Data Name="SubjectDomainName">WORKGROUP</Data> 
    <Data Name="SubjectLogonId">0x3e7</Data> 
    <Data Name="TargetUserSid">S-1-0-0</Data> 
    <Data Name="TargetUserName">Administrator</Data> 
    <Data Name="TargetDomainName">APPLICATION-SER</Data> 
    <Data Name="Status">0xc000006d</Data> 
    <Data Name="FailureReason">%%2313</Data> 
    <Data Name="SubStatus">0xc000006a</Data> 
    <Data Name="LogonType">10</Data> 
    <Data Name="LogonProcessName">User32</Data> 
    <Data Name="AuthenticationPackageName">Negotiate</Data> 
    <Data Name="WorkstationName">APPLICATION-SER</Data> 
    <Data Name="TransmittedServices">-</Data> 
    <Data Name="LmPackageName">-</Data> 
    <Data Name="KeyLength">0</Data> 
    <Data Name="ProcessId">0xd4c</Data> 
    <Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data> 
    <Data Name="IpAddress">198.217.30.23</Data> 
    <Data Name="IpPort">55751</Data> 
    </EventData> 
    </Event>

Quelle

2016-04-02 arvindwill

Antwort

0

Es sieht aus wie, dass jemand ist versuchen, Ihren Server zu attackieren. Wahrscheinlich versucht ein Bot (net) automatisch Administratorzugriff zu erhalten. Ich würde vorschlagen, Administrator-Konto deaktivieren (wenn nicht schon) und einfach nicht kümmern, aber wenn der Verkehr übermäßig ist, könnte ein IP-Verbot in der Firewall nicht schaden. Aber wenn es ein Botnet ist - bannen Sie jede IP, die Sie finden. : P

Quelle

2016-04-03 18:00:42

+0

wir haben die IP und andere starke Maßnahmen auch verboten. Vielen Dank. – arvindwill

 Verwandte Themen

  • Keine verwandten Themen^_^