二、着急的看这里
话说这位总监2B路子广啊,单位的活干着,还到处接别人的,这不丫让本屌赶上了,用单位的钱购进了一台服务器,配了独立公网ip,专门做这些业务。好嘛,本来对这些系统维护之类的东西本屌一贯不查收,原因是有几次说要陪服务器,问这几个人密码都不告诉本屌,跟防贼似得(我就奇了怪了,从内部攻就凭你们这三脚猫功夫能防得住)。从此以后,但凡涉及到这些东西都让他们自己来输吧,不参合! 终于有一天这个服务器中招了,哪天本屌正好中午请2个小时假见创业的朋友,2B一个劲儿的打电话让回来(呵呵,我会说是我干的吗?[当然不是)。回来一看系统安全日志,尼玛是这样的:
审核失败 2014/xx/xx hh:mm:10 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。
审核失败 2014/xx/xx hh:mm:05 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。
.....(此处省略一万行)
审核失败 2014/xx/xx hh:mm:01 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。
看来是的确是被盯上来。
服务器的配置: win server 2008 r2 防火墙全开 预留系统端口
查看登陆审核进程为:ntlmssp,关于NT LM的审核机制可以wiki上看也可以到microsoft有详细介绍,这里不多说,直接给出解决方案:
第一种:使用syspeace
如果攻击源的流量不是特别大,或者并非恶意来源可以使用syspeace来进行短时间内的block,效果就是会安静许多。
第二种:进行NTLM策略控制,彻底阻止LM响应
图片上说的已经很清楚了,就不在一一列举了。应用以上安全策略顿时清净了许多。
2B和装B犯憋了一口老气慢慢的呼了出来,直男癌还在低头抢春运的票。。。
原文地址:http://hnetworks.blog.51cto.com/9559654/1595605