Un nuevo cliente nuestro tiene una aplicación web heredada en Win Server 2008 R2 y cuando comenzamos a diagnosticar los registros de eventos, había varias direcciones IP en China intentando acceder a su cuenta sa sql y tratando de ingresar al cuadro con rdp (cada 2 o 3). segundos durante días y días).
Entonces, para una aclaración rápida: 1) La aplicación web no usa la cuenta sa y la contraseña sa es segura (y no trivial) 2) El servidor SQL está en el mismo cuadro (para el futuro inmediato) que la aplicación web. en. 3) Hemos incluido en la lista negra todas las direcciones IP infractoras hasta ahora, pero no hay forma de que estos tipos se detengan y, de hecho, normalmente sólo les lleva unas horas obtener una nueva IP.
Como soy desarrollador y normalmente usamos Azure para evitar algunos de estos problemas de infraestructura, algo de esto es un poco nuevo para mí y, en primer lugar, quería ver si había alguna práctica recomendada flagrante que nos faltara.
En segundo lugar, y en el meollo del título, ¿existe alguna posibilidad de automatizar las reglas de IPSec? Dado que la única razón por la que habría una referencia a un intento de inicio de sesión no válido en la cuenta sa sería un intento de piratería, ¿podría configurar algo que diga "si ve un mensaje en el registro de eventos con el mensaje 'Ha habido un inicio de sesión no válido' intente con el usuario 'sa'', entonces es un intento de pirateo y agregue la dirección IP ofensiva a la lista negra".