我們的一個新客戶在Win Server 2008 R2 上有一個遺留的Web 應用程序,當我們開始診斷事件日誌時,中國有多個ip 試圖同時訪問他們的sa sql 帳戶並嘗試rdp 到盒子中(每2 或3 個)連續幾天的秒數)。
因此,需要快速澄清一下:1)Web應用程式不使用sa帳戶,並且sa密碼是安全的(並且不是微不足道的)2)SQL伺服器與Web應用程式位於同一個盒子上(在不久的將來)。 3) 到目前為止,我們已將所有違規 IP 位址列入黑名單,但這些傢伙不可能停止,事實上,他們通常只需要幾個小時即可獲得新 IP。
由於我是開發人員,我們通常使用 Azure 來避免其中一些基礎設施問題,其中一些對我來說有點新鮮,我首先想看看我們是否缺少一些明顯的最佳實踐。
其次,也是標題的核心,是否有辦法自動化 IPSec 規則?由於在 sa 帳戶上引用無效登入嘗試的唯一原因是駭客嘗試,我可以設定一些內容來表示“如果您透過事件日誌看到一條訊息,其中包含“存在無效登入”嘗試使用使用者“sa”,那麼這是一次駭客嘗試,並將有問題的IP 位址加入黑名單」。