暴力破解(Brute Force Attack)是一種密碼攻擊技術,攻擊者嘗試通過枚舉所有可能的組合,直到找到正確的密碼或密鑰。本文主要介紹如何有效地利用防暴力破解功能,以協助您保護主機免受暴力破解攻擊。
功能原理
通過建立防暴力破解策略可以啟用防暴力破解功能。建立防暴力破解策略後,如果某個IP地址在指定時間範圍內登入伺服器的失敗次數超過限定次數將觸發防暴力策略生效,該策略生效後會自動產生IP攔截規則(即系統規則子頁簽下的攔截IP),在一段時間內禁止該IP登入伺服器。自動產生的IP攔截規則在產生時為已啟用狀態,生效時間長度為防暴力破解策略的禁止登入時間長度。
建立防暴力破解策略
通過建立防暴力破解策略可以定義觸發暴力破解的具體規則。支援配置多條防暴力破解策略,您可以根據伺服器的使用情境,為不同伺服器配置不同的防暴力破解策略。
如果您需要將指定IP地址加入防暴力破解的白名單中,您可以單擊常用登入IP,將指定IP地址加入常用登入IP中。防暴力破解策略不會對常用登入IP生效。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在主機規則管理頁面,單擊防暴力破解頁簽。
如果您未進行過雲資源訪問授權,您需要單擊立即授權,授權Security Center訪問您的雲資源。
關於授權的更多資訊,請參見Security Center服務關聯角色。
單擊新建策略,在新建策略面板,配置防暴力破解策略。
Security Center提供預設防暴力破解策略:同一伺服器10分鐘內登入失敗次數超過80次,禁止登入6小時。您可以選擇對應伺服器,直接使用預設防禦策略。您也可以參考以下表格中的配置說明自訂防禦策略。
配置項
說明
策略名稱稱
設定防暴力破解策略名稱稱。
防禦規則:
設定防暴力破解策略的具體規則。即登入伺服器時,在某個時間範圍內登入伺服器的失敗次數超過限定次數將被禁止登入一段時間。例如:1分鐘內登入失敗次數超過3次,禁止登入30分鐘。
防護情境
必選防護:RDP 暴力破解和SSH 暴力破解,不支援取消勾選。
可選防護:SQL Server 暴力破解,對提高資料庫安全性、保護敏感性資料具有至關重要的作用。
重要該防護情境生效前提是SQL Server已開啟登入日誌選項。具體操作,請參見開啟SQL Server登入日誌配置說明。
設置為預設策略
設定該防禦策略是否為預設策略。設定為預設策略後,未添加防禦規則的伺服器將預設應用該策略。
說明選中設置為預設策略後,無論您是否在請選擇對應的伺服器:中選擇了伺服器,當前策略都會對所有未添加防禦規則的伺服器生效。
請選擇對應的伺服器:
設定防禦策略生效的伺服器。支援直接選擇Security Center防護的伺服器,或根據伺服器名稱和IP篩選指定伺服器。
單擊確定。
重要每台伺服器僅支援配置一個防暴力破解策略。
如果該策略中設定生效的伺服器未配置其他防暴力破解策略,該防暴力破解策略添加成功。
如果該策略中設定生效的伺服器已配置了其他防暴力破解策略,且您確定要更換為當前配置的策略,請在確認防禦規則變更頁面,單擊確認。
如果原防暴力破解策略的生效伺服器配置了新防暴力破解策略,則原防暴力破解策略的生效伺服器數量會相應減少。
管理系統規則
系統規則為防暴力破解策略被觸發後自動產生的IP攔截規則,以下步驟介紹如何查看、啟用和禁用系統規則。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。在左側導覽列,選擇。
在主機規則管理頁面,單擊防暴力破解頁簽。
在系統規則子頁簽下,根據需要執行以下操作。
查看系統規則
支援查看攔截規則的攔截IP、連接埠、生效伺服器、策略名稱稱、攔截機制、有效期間和狀態。Security Center會根據用戶端安裝情況自動在以下攔截機制中選擇合適的攔截機制:
Security Center:優先使用Security Center外掛程式攔截登入行為。在Security Center執行個體為進階版、企業版或旗艦版且開啟了恶意网络行为防御開關時,Security Center會自動選擇該外掛程式。開啟恶意网络行为防御開關的具體操作,請參見主動防禦。
ECS安全组:該攔截規則啟用時會在安全性群組中自動建立相應規則,該攔截規則到期或禁用後會自動刪除該規則。
啟用系統規則
如果需要繼續攔截該IP地址的登入,您可以開啟狀態列的開關,開啟該規則。重新啟用該規則後,該規則的有效期間將變更為啟用時間後兩小時。
禁用系統規則
如果您確認該IP的失敗登入狀態誤操作,可以通過禁用該IP的攔截規則解除登入禁止。關閉狀態列的開關,可關閉該規則。禁用規則約一分鐘後,該IP將可以正常訪問伺服器。
管理自訂規則
您可以根據實際業務的需要參考以下步驟,自訂IP攔截規則,攔截惡意IP對雲上資產的訪問。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在主機規則管理頁面,單擊防暴力破解頁簽。
在自訂規則子頁簽,根據需要執行以下操作。
新增自訂IP攔截規則
如果您未進行過雲資源訪問授權,您需要單擊立即授權,授權Security Center訪問您的雲資源。
關於授權的更多資訊,請參見Security Center服務關聯角色。
單擊建立規則,在新建IP拦截策略面板,配置相關參數,然後單擊確定。
配置項
說明
攔截對象
輸入需要攔截的IP地址。
全部資產
選擇建立IP攔截規則應用的伺服器。支援同時選擇多台伺服器。您可以在搜尋方塊中輸入伺服器名稱或伺服器IP地址搜尋指定伺服器。
規則方向
設定攔截流量的方向,可選擇入方向或出方向。
安全性群組
該IP攔截規則關聯的安全性群組,預設為Security Center攔截組。該規則啟用時會在此安全性群組中自動建立相應規則,該規則到期或禁用後會自動刪除。
到期時間
設定該規則的有效時間。規則到期後,該規則狀態將變為已禁用。
自訂IP攔截規則建立成功後預設為已禁用狀態,如果您需要該規則立即生效,您需要手動啟用該規則。
查看自訂IP攔截規則列表及詳情
在自訂規則子頁簽,查看攔截規則的攔截IP、生效伺服器數、有效期間、規則方向和狀態。您可以單擊攔截規則操作列的詳情,查看生效伺服器的列表。支援通過規則狀態(已禁用、已啟用、開啟中、開啟異常等)篩選生效伺服器。
編輯自訂IP攔截規則
定位到需要編輯的IP攔截規則,單擊其操作列的編輯,在编辑IP拦截策略面板,修改該攔截規則的生效資產和到期時間並儲存。Security Center將按照您修改後的生效資產和到期時間執行IP攔截任務。
僅支援編輯已禁用狀態的IP攔截規則。如果需要編輯已啟用狀態的IP攔截規則,您可以禁用該IP攔截規則後,再編輯該規則。
啟用或禁用IP攔截規則
根據實際情境需要,您可對存在暴力破解風險的IP啟用相應的IP攔截規則。如果確認攔截規則攔截了正常流量,您可以禁用該規則。禁用規則後,Security Center不會再攔截該規則中攔截對象的訪問,該IP將可以正常訪問您的伺服器。
啟用:開啟狀態開關,在啟用IP攔截規則對話方塊中單擊確定。啟用後該IP攔截規則會生效並且狀態將變更為啟用中。生效伺服器數量越多,啟用中狀態持續的時間越長。啟用後,Security Center會根據該IP攔截規則定義的攔截規則攔截惡意流量。以下是開啟後IP攔截策略的部分狀態說明:
开启异常:指該攔截規則的所有生效伺服器未正常開啟該規則。
部分成功:指該攔截規則的部分生效伺服器未正常開啟該規則,部分伺服器已正常開啟。
您可以單擊攔截規則操作列的詳情,查看生效伺服器的詳情。在生效伺服器面板,您可以單擊開啟異常狀態伺服器操作列的重試,嘗試重新開啟該規則。
說明如果您啟用了已到期的自訂IP攔截規則,該規則的有效期間將變更為啟用時間後兩小時。如果您需要修改該規則的有效期間,建議您編輯該規則後再執行啟用操作。
禁用:關閉狀態開關,在禁用IP攔截規則對話方塊中單擊確定。禁用後該IP攔截規則將失效並且狀態將變更為已禁用,Security Center不會再攔截規則中設定的IP地址對指定伺服器的訪問。
刪除自訂IP攔截規則
支援刪除狀態為已禁用的規則。單擊目標規則操作列的刪除,並在提示對話方塊中單擊確認,即可刪除該規則。
開啟SQL Server登入日誌配置說明
如果您需要開啟SQL Server的防暴力破解策略,首先必須啟用SQL Server的登入日誌以記錄成功和失敗的身分識別驗證嘗試,登入資訊的記錄對於檢測和確認密碼猜測攻擊至關重要。具體操作,請參考以下步驟:
開啟SQL Server Management Studio,使用憑據串連到您的SQL Server執行個體。
在左側的物件總管視窗,找到需配置的目標SQL Server執行個體,單擊滑鼠右鍵,選擇屬性。
在屬性對話方塊的左側的菜單,單擊安全性選項。
在地區,如果您希望開啟SQL Server防暴力破解策略功能,請選擇失敗和成功的登入的選項。
單擊確定,並重新啟動SQL Server執行個體。