当社の新しいクライアントには、Win Server 2008 R2 上にレガシー Web アプリがあり、イベント ログの診断を開始したところ、中国の複数の IP が sa sql アカウントにアクセスし、ボックスに rdp しようとしていることがわかりました (数日間、2 ~ 3 秒ごとに)。
簡単に説明すると、1) Web アプリは sa アカウントを使用せず、sa パスワードは安全です (簡単ではありません)。2) SQL Server は、Web アプリと同じボックスにあります (当面の間)。3) これまでに、問題のある IP アドレスはすべてブラックリストに登録しましたが、これらの攻撃者が止まることはなく、実際には、新しい IP を取得するのに数時間しかかかりません。
私は開発者であり、通常はインフラストラクチャの問題を回避するために Azure を使用していますが、このうちのいくつかは私にとって少し新しいものであり、まず、見逃している明白なベスト プラクティスがあるかどうかを確認したかったのです。
次に、タイトルの核心ですが、IPSec ルールを自動化する方法はありますか? sa アカウントでの無効なログイン試行への参照が存在する唯一の理由はハッキング試行であるため、「イベント ログに「ユーザー 'sa' による無効なログイン試行がありました」というメッセージが表示された場合、それはハッキング試行であり、問題の IP アドレスをブラックリストに追加する」という設定を行うことはできますか?