適用於:✔️ Windows VM
因特網對向虛擬機上的開放埠是暴力密碼破解攻擊的目標。 本文說明 Azure 虛擬機 (VM) 遭受攻擊時可能會遇到的一般錯誤,以及保護 VM 的最佳做法。
徵兆
當您對 Azure 中的 Windows VM 進行遠端桌面通訊協定 (RDP) 連線時,您可能會收到下列一般錯誤訊息:
- 發生內部錯誤。
- 遠端桌面服務會話已結束。 您的網路管理員可能已結束連線。 請再次連線,或連絡技術支援以尋求協助。
您無法使用公用IP位址來 RDP,但您可以使用私人IP位址來 RDP。 此問題將取決於您是否因為攻擊而出現效能尖峰。
安全性事件記錄檔中有許多失敗的登入嘗試:
- 幾乎每秒都會記錄登入的事件 4625,失敗原因 為「錯誤用戶名稱」或「密碼」。
![[事件屬性 - 事件 4625] 視窗的螢幕快照,其中顯示 [失敗原因不明] 使用者名稱或密碼錯誤。](media/cannot-rdp-azure-vm-brute-force/event-properties.png)
使用序列主控台連線到 VM
如果您無法成功 RDP 到 VM,您可以嘗試使用 PowerShell 和 序列主控台 來檢查記錄專案。
在命令行上,執行
powershell.exe來啟動PowerShell。在 PowerShell 中,執行此命令:
remove-module psreadline Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddDays(-1); Id='4625'}
您也可以使用 遠端 PowerShell 來執行 Get-WinEvent 命令。
原因
如果有許多最近的記錄專案指出失敗的登入嘗試,VM 可能會遇到暴力密碼破解攻擊,而且必須受到保護。 此活動可能會耗用 RDP 服務資源,讓您無法透過 RDP 成功連線。
解決方案
在此案例中,RDP TCP 埠 3389 公開給因特網,請使用下列一或多個方法來增加 VM 的安全性:
使用 Just-In-Time 存取 來保護 VM 的公用面向埠。
使用 Azure Bastion 透過 Azure 入口網站 安全地連線,並封鎖來自網路安全組 (NSG) 因特網的 RDP 流量。
使用 VPN 閘道 提供計算機與 VM 之間的加密通道,並封鎖來自網路安全組 (NSG) 因特網的 RDP 流量。
編輯您的網路安全組 (NSG) 以更嚴格限制。 在 RDP 的輸入規則中,只允許特定因特網通訊協定 (IP) 或屬於您組織的 IP 範圍:
針對您的輸入 RDP (TCP 連接埠 3389) 規則,如果來源設定為 “Any” 或 “ * ”,則會將規則視為開啟。 若要改善規則的安全性, 請將 RDP 連接埠限製為特定使用者的 IP 位址,然後再次測試 RDP 存取。
使用 [執行命令 ] 將預設 RDP 連接埠從 3389 變更為較不常見的埠號碼。 這不是建議作為長期修正,但可能有助於暫時減輕攻擊並重新取得 VM 的存取權,我們建議使用 Just-In-Time 存取、Azure Bastion 或 VPN 閘道。
![Azure 入口網站 [執行] 命令頁面中 SetRDPPort 命令描述的螢幕快照。](media/cannot-rdp-azure-vm-brute-force/setrdpport-command.png)
注意
使用 Azure 資訊安全中心 來評估雲端資源的安全性狀態。 使用 Azure 安全分數建議,將安全性狀態可視化,並改善您的安全性狀態。
後續步驟
與我們連絡,以取得說明
如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以向 Azure 意見反應社群提交產品意見反應。