一、說明
在運維日常工作中,我們應該會經常接觸到Windows server系統,而作爲一名運維人員應該都有一定的安全防範意識和處理辦法,對於Windows 系統而言,最常用的一個系統安全問題排查工具就是“事件查看器”了。
事件查看器應該算是一件Windows系統下的利器,用好它,總是能發現和解決一些問題,而今天我們要說的就是其中最常見的問題之一暴力破解。
如果我們打開“事件查看器”,在“安全”一項中看到如下大量連續的日誌信息,那麼十之八九是被暴力破解盯上了!
二、通過組策略的設置來防止
首先打開組策略(gpedit.msc),依次展開:
計算機配置-windows設置-安全設置-本地策略-安全選項
在右邊找到如下兩項,並修改爲圖中所示
1,網絡安全:lan管理器身份驗證級別
2,網絡安全:限制ntlm:傳入ntlm流量
至此,再看日誌,已經沒有新的大量的審覈失敗日誌了。