类别:Win其它 / 日期:2022-11-07 / 浏览:1139 / 评论:0
-------------------------------------------
审核失败 2014/xx/xx hh:mm:10 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。
审核失败 2014/xx/xx hh:mm:05 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。
.....(此处省略一万行)
审核失败 2014/xx/xx hh:mm:01 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。
------------------------------------------
看来是的确是被盯上来。
服务器的配置: win server 2008 r2 防火墙全开 预留系统端口
查看登陆审核进程为:ntlmssp,关于NT LM的审核机制可以wiki上看也可以到microsoft有详细介绍,这里不多说,直接给出解决方案:
第一种:使用syspeace
如果攻击源的流量不是特别大,或者并非恶意来源可以使用syspeace来进行短时间内的block,效果就是会安静许多。
第二种:进行NTLM策略控制,彻底阻止LM响应
图片上说的已经很清楚了,就不在一一列举了。应用以上安全策略顿时清净了许多。
版权声明 : 本文未使用任何知识共享协议授权,您可以任何形式自由转载或使用。
