Nhật ký bảo mật và lỗi kiểm toán của Windows

Tôi đang thực hiện một số bảo trì định kỳ trên hộp Windows Server 2008 mà tôi quản lý. Khi nhìn vào Nhật ký bảo mật trong giao diện Nhật ký sự kiện của Windows, tôi thấy một đợt đăng nhập thất bại 50-200 xảy ra trong khoảng thời gian 15 phút. Vì vậy, rõ ràng đây không phải là một người chỉ quên mật khẩu của họ.

Tôi biết có rất nhiều bot ngoài máy chủ ping và chụp ảnh tại tường lửa. Câu hỏi của tôi là nếu có bất kỳ thanh sân để đo lường vấn đề xấu như thế nào? Điều gì là bình thường đối với Windows Server chạy phía sau tường lửa?

Tôi cho rằng tôi sẽ trả lời những gì tôi đã học được trong 6 tháng hoặc lâu hơn kể từ khi tôi đăng câu hỏi này.

Tôi đã theo dõi một Windows Server, được kết nối với một địa chỉ IP tĩnh, với bảo mật cơ bản tại chỗ (tường lửa, tắt các dịch vụ Windows không cần thiết, v.v.). Tôi thấy rằng nếu tôi rời FTP, sử dụng IIS 6 đang chạy, tôi sẽ nhận được 30.000 đến 60.000 lần thử đăng nhập ngẫu nhiên mỗi tháng. Một số tháng tồi tệ hơn những tháng khác, các nỗ lực đăng nhập hàng loạt đến ở mọi hình dạng và kích cỡ. Họ đã thử rất nhiều tên đăng nhập, đôi khi đã thử cùng một tên rất nhiều.

Khi tôi dừng dịch vụ FTP, các nỗ lực đăng nhập đã dừng lại.

Chúng tôi cũng đã thực hiện một quy trình vững chắc để sao lưu Nhật ký sự kiện để những nỗ lực đăng nhập lớn không thể được sử dụng để che đậy hoạt động khác bằng cách làm tắc Nhật ký sự kiện.

Tôi sẽ chấp nhận câu trả lời khác nếu có ai có kinh nghiệm về việc này. Nếu không, tôi sẽ để lại câu trả lời này cho bất cứ ai quan tâm.