二、着急的看这里

话说这位总监2B路子广啊，单位的活干着，还到处接别人的，这不丫让本屌赶上了，用单位的钱购进了一台服务器，配了独立公网ip，专门做这些业务。好嘛，本来对这些系统维护之类的东西本屌一贯不查收，原因是有几次说要陪服务器，问这几个人密码都不告诉本屌，跟防贼似得（我就奇了怪了，从内部攻就凭你们这三脚猫功夫能防得住）。从此以后，但凡涉及到这些东西都让他们自己来输吧，不参合！ 终于有一天这个服务器中招了，哪天本屌正好中午请2个小时假见创业的朋友，2B一个劲儿的打电话让回来（呵呵，我会说是我干的吗？[当然不是）。回来一看系统安全日志，尼玛是这样的：

审核失败 2014/xx/xx hh:mm:10 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

审核失败 2014/xx/xx hh:mm:05 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

.....（此处省略一万行）

审核失败 2014/xx/xx hh:mm:01 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

看来是的确是被盯上来。

服务器的配置： win server 2008 r2 防火墙全开 预留系统端口

查看登陆审核进程为：ntlmssp，关于NT LM的审核机制可以wiki上看也可以到microsoft有详细介绍，这里不多说，直接给出解决方案：

第一种：使用syspeace

  如果攻击源的流量不是特别大，或者并非恶意来源可以使用syspeace来进行短时间内的block，效果就是会安静许多。

第二种：进行NTLM策略控制，彻底阻止LM响应

图片上说的已经很清楚了，就不在一一列举了。应用以上安全策略顿时清净了许多。

2B和装B犯憋了一口老气慢慢的呼了出来，直男癌还在低头抢春运的票。。。

记一次服务器被攻击