windows · 2009-05-02

MSSQL被攻击 使用组策略封IP

朋友们五一快乐 :) 你们放假了我还要忙呀,不过本职工作,还是义不容辞地~
手上三台windows的服务器,查看其中一台日志发现有大量ID为18456的错误日志:

事件类型:	审核失败
事件来源:	MSSQLSERVER
事件种类:	(4)
事件 ID:	18456
日期:		2009-5-2
事件:		9:51:42
用户:		N/A
计算机:	xxx
描述:
用户 'administrator' 登录失败。 [客户端: xx.xx.xx.xx]
事件类型:	审核失败
事件来源:	MSSQLSERVER
事件种类:	(4)
事件 ID:	18456
日期:		2009-5-2
事件:		4:52:41
用户:		N/A
计算机:	xxx
描述:
用户 'admin' 登录失败。 [客户端: xx.xx.xx.xx]


有人[美国佬]尝试用administrator与admin这俩用户来登录,并且穷举密码使用弱口令尝试与mssql取得连接,windows下不知道怎么封IP,google一下 :)
步骤:
开始 -> 运行 -> secpol.msc -> 点击[IP安全策略] -> 在右边空白处点击右键 [创建IP 安全策略] -> 填写名称 -> 去掉 [激活默认相应规则] -> 完成
-> 去掉[使用添加向导] -> 添加 -> 添加 -> 去掉[使用添加向导] -> 添加 -> [源地址]设置对方IP [目标地址]选择我的IP地址 -> 点击规则 -> 筛选器操作 -> 去掉[使用添加向导]
-> 选择[阻止] -> 这样就可以简单使用组策略来封IP了 。

[[[ 如果是远程请务必注意步骤,选项一定要看清楚,否则将会有可能无法与服务器接连 ]]]