Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   FireWall на удаленном сервере! (http://forum.oszone.net/showthread.php?t=278794)

Сержа 06-03-2014 06:31 2319776
FireWall на удаленном сервере!
 
Всем привет!
Такая вот проблема:

Есть сервер арендуемый в другой стране, на него все подключаются по RDP. В последнее время в Журнале - Безопасность фиксируются события Аудит отказа, где видно что перебирают логин и пароль с разных внешних IP адресов.
Мы подключаемся только с 2х внешних IP.

Подскажите какую программу можно поставить для защиты сервера и фильтрации IP, что бы прописать 3 внешних IP которые смогут видеть этот сервер а остальные отрезать!?

Интересует программа которая не дает сбоев и корректно работает на server 2008 r2 x64. и что бы в ней не было ничего лишнего!

Заранее спасибо.

Angry Demon 06-03-2014 08:25 2319786
Цитата:
Цитата Сержа
Интересует программа которая не дает сбоев и корректно работает на server 2008 r2 x64. и что бы в ней не было ничего лишнего!
Защита Windows Server 2008 R2 с помощью брандмауэра

Cruzenshtern 06-03-2014 10:00 2319813
Сержа, обычным брандмауэром настройте.

Сержа 31-03-2014 07:30 2330785
Вложений: 1
Добрый день!
Брандмауэром настроил (см рис). Проверял с IP которых нет в списке, не пускает, а пускает только с этих 3х IP

Но в журнале все равно фиксируется Аудит отказа с разных IP


Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ADMIN
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: \\58.137.112.204
Сетевой адрес источника: 58.137.112.204
Порт источника: 4602

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.



Подскажите в чем может быть еще косяк.?

exo 31-03-2014 09:38 2330814
Цитата:
Цитата Сержа
Тип входа: 3 »
http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx
Цитата:
3 Сеть
Пользователь или компьютер вошли на данный компьютер через сеть.
Цитата:
10 RemoteInteractive
Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.
по SMB пытаются зайти. закрывайте 445 порт.
какие роли на сервере?

Сержа 31-03-2014 12:31 2330907
exo, роли веб сервера, dns сервера, Удаленных раб столов, Файловые службы.
Да про порт 445 забыл, сейчас буду закрыть и попробую.
Спасибо

Сержа 01-04-2014 05:01 2331293
Порт 445 прикрыл!
Аудита отказа почти нет, но раз в час или 3 все равно появляются события с неизвестными IP
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: administrator
Домен учетной записи: W116255251212
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: W116255251212
Сетевой адрес источника: 116.255.251.212
Порт источника: 3885
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0




Что еще можно прикрыть? какой порт!

exo 01-04-2014 10:18 2331354
Цитата:
Цитата Сержа
Порт 445 прикрыл! »
для каких адресов? 116 сеть там есть?

Сержа 02-04-2014 08:35 2331864
exo, закрыл всем кроме 3х внешних ip.
116 нет.

В журнале светятся сейчас 2 ip

Тип входа: 3

Сведения о сети:
Имя рабочей станции: W116255192196
Сетевой адрес источника: 116.255.192.196
Порт источника: 4974


Сведения о сети:
Имя рабочей станции: QAWSVR2
Сетевой адрес источника: 97.76.90.21
Порт источника: 1962

раньше ip было куча, теперь 2-3. И Аудит отказа забивал весь журнал, сейчас же только ночью в течении одного двух часов фиксируется Аудит отказа.

exo 02-04-2014 10:06 2331897
Цитата:
Цитата Сержа
сейчас же только ночью в течении одного двух часов фиксируется Аудит отказа. »
может бот какой-то. если учётная запись админа заблокирована - беспокоится не о чем.

Сержа 18-04-2014 21:13 2340213
Добрый день!
Прошу помощи т.к опять посыпались аудиты отказа в журнале:

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: banker
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: AMDTCAP49
Сетевой адрес источника: 97.65.88.64
Порт источника: 53955

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.


Вот скрин Брандмауэра, что тут я не прописал или не учел? для 445 и для 3389


Время: 05:24.

Время: 05:24.
© OSzone.net 2001-