iT邦幫忙

0

Server 2003/2008可否自動封鎖帳戶登入失敗IP

過了一個年假,結果大陸廠數台Server都被駭~
雖不是我管轄範圍,但因對岸MIS完全新手,我只好協助解決
目前大多伺服器已恢復運作,但仍發現有用戶端被駭,不斷在try伺服器的帳號密碼,
我想詢問是否有方法可以先從Server來自動封鎖一些不斷測試帳密的IP?
而在解決用戶端問題後再解除封鎖。
系統有Server 2003/2008、內網IP多是固定 已知是某高級主管被駭Orz
外網無硬體防火牆,只有小型路由器Orz 有開放遠端桌面以方便我連線協助
以下是安全事件內容,謝謝

登录失败的帐户:
安全 ID: NULL SID
帐户名: user4(還有a 及 administrator 系統沒user4及a帳號)
帐户域: CHONG1YOU (還有另一用戶)
失败信息:
失败原因: 未知用户名或密码错误。
IpAddress 192.168.1.57 IpPort 3975

2 個回答

8
summertw
iT邦好手 1 級 ‧ 2014-02-11 08:27:32
最佳解答

封鎖IP,如果使用DHCP的話,恐怕你還是會很累的..
試試封鎖Mac Address..請參考下列的作法...
http://www.tadpole.net.tw/2011/02/m-windows-dhcp-server-mac-address.html

祝你成功...

sloveliu iT邦新手 4 級 ‧ 2014-02-11 21:52:03 檢舉

感謝您,後來問過該網管,說那邊IP有些人是固定、有些人是DHCP有點亂,所以我照你說的用鎖MAC比較準確~不過網管現在說找不到是哪個用戶~他原以為是高階主管,但不是= = 反正我就先鎖了,連帶連外網路一起鎖,讓他直接來找網管

4
michaelwan
iT邦高手 1 級 ‧ 2014-02-11 11:31:38

大部份遇到的情況是,內網用戶被駭安裝了惡意程式在測試帳戶(經常造成大部份用戶被鎖定).
從主機EVENT找到異常的電腦, 隔離清除惡意程式.

PS.可以先確認登入類型是什麼,來推斷來源.

sloveliu iT邦新手 4 級 ‧ 2014-02-11 21:54:17 檢舉

嗯,所以我不大敢用帳戶鎖定方式來制止~我有找到異常電腦名稱及IP,
只是網管居然說找不到是哪個用戶= = 居然沒做好電腦名稱對應用戶記錄啊

我要發表回答

立即登入回答