服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

1年前 8381次浏览

近日发现服务器出现海量审核失败的安全日志,查看详细其实就是有人通过暴力破解在猜测服务器密码。虽然说我有信心这个应该不会被破解而助他在破解的账号根本没有任何权限。但每天几万条的错误日志看着心里有点不舒服。

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

这个解决方法挺多的,安装服务器防火墙、修改远程端口、关掉3389远程连接安装同类型其它软件替代等。但是其实如果是阿里或腾讯云服务器,可以使用其安全组规则来轻松解决这个问题。

首先介绍下什么是安全组

其实这个安全组也就等于是防火墙,只是这个防火墙不用安装,可以看成是我们云服务器在阿里或者腾讯主服务器上的防火墙。这样的好处就是不用消耗自身服务器的资源。所以我管理服务器都是使用这个安全组来配置一些权限的。下面以阿里云为例介绍一下其设置方法:

使用阿里云安全组限制远程端口访问权限

其实简单点说就是设置谁可以访问远程端口,我这里用默认3389为例:

第一步:我们进入阿里云的【云服务器控制台】下面的【网络与安全】中的【安全组】。选择服务器所在的地区就能够看到账号下该区域设置的安全组设置。

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

第二步创建安全组:如果已经有了直接跳后,点击【创建安全组】,输入名称、描述,选择网络类型创建即可,这里都可以随便填,主要在后面的安全规则。

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

第三步配置安全组规则:在安全组规则列表中找到刚才创建的安全组。点击【配置规则】。配置规则分为【入方向】与【出方向】。出方向为在服务器上操作规则如:在服务器访问另外一台服务器数据库,找开网站等属于出方向。入方向为今天我们要设置的重点,即为其它终端访问这台服务器的规则如:我们远程连接此台服务器、打开该服务器配置的网站、ping服务器都是属于入方向。通过创建安全规则可以设置访问此服务器时的权限。如要设置全部都不能访问3389远程端口:只需要如图设置入方向,拒绝,端口3389,授权对像0.0.0.0/0。这样设置后,等于把3389所有的路都堵死了。不管从哪里都无法通过3389端口远程连接该服务器。

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

那么又要如何单独为当前电脑打开通往该服务器3389端口的路?只需要以当前机器外网IP再创建一条规则允许就可以了。查询当前电脑外网IP,也很简单,直接百度搜“我的IP”第一个就显示了。

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

创建允许访问3389端口的规则:

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

此处要注意安全规则优先级。

这样安全规则就创建好了。但还没有完。还需要将服务器实例加入该安全组。

第四步将服务器加入安全组:在服务器实例列表里面,找到需要加入该安全组的实例选择【更多】-【网络和安全】-【加入安全组】找到刚才创建的安全组即可。如果之前有加入过安全组,也可以直接在此处直接配置安全规则。

服务器安全日志有大量Microsoft Windows 安全审核审核失败日志怎么办?

这样就设置完了。这个时侯除了刚才设置的允许IP以外,其它地方都无法访问该服务器3389端口了。但由于公网IP经常变动。所以公网IP变动后又得重新设置一下。但是诸如阿里云、腾讯云等都有手机端可以快速配置安全组。

小结:当然还可以在服务器通过配置防火墙,或者安装类似软件。但个人觉得用安全组规则来阴止远程接入是个不错的办法。