理解字典爆破攻击原理
字典爆破攻击主要是针对用户账户和密码。攻击者使用包含常见用户名和密码组合的字典文件,通过自动化工具不断尝试登录系统。例如,攻击者可能会使用包含如 “admin”“administrator” 等常见用户名,以及 “123456”“password” 等常见密码的字典,尝试通过远程桌面协议(RDP)、SSH(如果在 Windows 上启用)或者其他服务的登录接口进行登录。
在本地安全策略中设置账户锁定策略(以 Windows 为例)
打开本地安全策略编辑器:可以通过在运行对话框(按 Win+R 键打开)中输入 “secpol.msc” 并回车来打开本地安全策略编辑器。
配置账户锁定阈值:在 “本地策略” - “安全选项” 中,找到 “账户锁定阈值” 选项。这个选项用于设置在多少次无效登录尝试后锁定账户。例如,将其设置为 3 次,意味着当有用户(包括攻击者)进行 3 次错误的登录尝试后,该账户将被锁定。这样可以有效防止字典爆破攻击持续进行。
配置账户锁定时间和复位账户锁定计数器时间:在同一位置,还可以设置 “账户锁定时间” 和 “复位账户锁定计数器时间”。“账户锁定时间” 用于指定账户被锁定的时长,例如可以设置为 30 分钟。“复位账户锁定计数器时间” 用于确定在多长时间后,无效登录尝试次数的计数器会被重置。一般可以将其设置为一个合适的值,如 15 分钟,这样在 15 分钟内如果连续 3 次(根据前面设置的账户锁定阈值)登录失败,账户就会被锁定。
限制登录尝试的 IP 地址(高级设置,可能需要额外软件或防火墙规则)
使用 Windows 防火墙高级安全:通过在控制面板中打开 “Windows 防火墙”,然后选择 “高级设置”。在这里,可以创建入站规则来限制来自特定 IP 地址或 IP 地址范围的登录尝试。
基于源 IP 地址的阻止规则:例如,如果发现某个 IP 地址正在进行频繁的可疑登录尝试,可以创建一个入站规则,阻止该 IP 地址访问相关的登录服务端口(如 RDP 的 3389 端口)。在 “新建入站规则向导” 中,选择 “自定义” 规则类型,然后在 “程序” 步骤中选择 “所有程序”,在 “协议和端口” 步骤中选择相应的协议(如 TCP)和端口(如 3389),在 “范围” 步骤中,在 “远程 IP 地址” 部分添加要阻止的 IP 地址范围。
监控登录事件并设置警报(结合事件查看器和任务计划程序)
配置事件查看器的订阅:打开事件查看器(可以通过在运行对话框中输入 “eventvwr.msc” 并回车),可以创建自定义视图来筛选和关注与登录相关的事件。例如,关注事件 ID 为 4625(表示登录失败)的事件。可以通过 “订阅” 功能将这些事件发送到集中的日志服务器或者本地的另一个存储位置,以便更好地进行监控。
结合任务计划程序设置警报:利用任务计划程序,当检测到一定数量的登录失败事件(如在短时间内出现 10 次登录失败)时,触发一个脚本或者发送一个警报通知(如通过电子邮件或者系统消息)。可以在任务计划程序中创建一个新任务,设置触发条件为基于事件(在事件查看器中指定的登录失败事件),并指定要执行的操作(如运行一个发送警报邮件的脚本)。
禁用不必要的远程登录服务(如果可能)
审查并关闭不必要的服务:如果系统不需要某些远程登录服务,如远程桌面(RDP)或者其他第三方远程管理工具,考虑禁用这些服务。对于 RDP,可以通过在 “系统属性” - “远程” 选项卡中取消 “允许远程连接到此计算机” 选项来禁用。这样可以减少系统暴露给字典爆破攻击的风险。
使用多因素认证(MFA)增强安全性(如果支持)
配置多因素认证服务:如果系统支持(如 Windows Server 支持一些 MFA 插件或者与第三方 MFA 服务集成),可以启用多因素认证。例如,除了用户名和密码,还要求用户提供通过手机短信验证码或者硬件令牌生成的一次性密码来进行登录。这样即使攻击者获取了用户名和密码,没有额外的认证因素也无法成功登录系统。
延伸阅读
- DDoS(Distributed Denial - of - Service)攻击状态描述
- CC(Challenge Collapsar)攻击状态描述
- Windows CMD 操作指令
- 常见的 Linux 操作指令
- 如何在Windows系统中设置账户锁定策略?
- RDP3389远程服务器批量管理工具 自开发放心用
- CentOS 换源教程
- Fedora 换源教程
更多阅读
- 上一篇:CentOS 换源教程
- 下一篇:RDP3389远程服务器批量管理工具 自开发放心用