windows 2008 遭到暴力破解密码

• 今天进入服务器查看系统日志，刚一进入事件事件查看器，一连串的error信息，让人心情立马不舒畅了。

  错误信息 winlogon 事件ID 4005
  然后我查看事件查看器—> 安全 全部都是审核错误的信息

  这个时候已经确认服务器密码正在受到暴力破解。虽然说只有密码强度过高，暴力破解是很困难的，（但是只有黑客有毅力，总有一天你的密码会被攻破的！在这里还是做一些防御，以防止别服务器信息泄漏）

方法一

• 这是最简单的方法，（改变自己的服务器端口，这个只能起到一时之用）。
• 限制远程IP登录服务器（但最好你用固定的网络IP，如果没有的话就别设置了）
• 找到：管理工具–高级安全Windows防火墙–入站规则–远程桌面（TCP-IN）右键属性–作用域。然后就可以设置制定访问的IP了。

方法二

• 记录下远程登录的IP ，然后屏蔽这个IP
• 如果服务器没有安装终端服务器，需要先安装终端服务器安装步骤

• 限制IP登录服务器看这里，如果攻击Ip太多的话，可能是很多人都在攻击，也可能是变着IP在攻击你（那最好是执行方法一）

  1、建立一个存放日志和监控程序的目录，比如在C盘下建立一个RDP的目录

  2、在其目录下建立一个名为RDPlog.txt的文本文件

  3、在其目录下建立一个名为RDPlog.bat的批处理文件，内容为：

  date /t »RDPlog.txt

  time /t »RDPlog.txt

  netstat -n -p tcp

  find “:3389”»RDPlog.txt

  start Explorer

  4、进入系统管理工具中的“终端服务器配置”，进入到默认RDP-Tcp属性中

  5、切换到“环境”页下，启用“用户登录时启用下列程序”

  6、在程序路径和文件名处填写：C:\RDP\rdplog.bat；并在起始于填写：C:\RDP\

  完成以上的配置步骤后，当再次登录服务器时就会记录当前登录者的时间和IP。