どうして気づいた
別件で、立てたWindows Serverのログを取ろうとして、公式からStackdriverをインストールして、
「お、ログ入ってきてるやん」
なんてぬか喜びしてたんですよ。
でもよくみてみると、
なんか数秒ごとにログイン失敗してるログがめちゃくちゃ出てくる!!
Account Nameが「ADMINISTRATOR」とかいろんな名前で総当たりでログインしてきているのがわかります。
え、やばくね?
とりあえずファイアウォールか。
でもインスタンス立てる時に自分のIPからしかRDP(TCP:3389)できないようにしたはず。
でも確認してみると・・・
設定されてなーい!!
ファイアウォールのルールは作成したら必ずネットワークタグで適用しよう!アラサーとの約束だよ!!
他に考えるべきは・・・
公式を確認すると、
とりあえず許可さえしなければ外部から第三者が接続できる、なんてことはそうそう無いようです。
そういえばファイアウォールルールには
デフォルトで設定されているものがあります。その中には
default-allow-rdp
任意の送信元からネットワーク内の任意のインスタンスへの TCP ポート 3389 での上り(内向き)接続を許可します。このルールの>優先度は 65534 で、Microsoft リモート デスクトップ プロトコル(RDP)を実行しているインスタンスへの接続を有効にします。
があります。
自作で自分のIPからしかRDPできないようなルールを作って優先度高くしていますが、これがあると結局誰でもRDPできるような設定になっています。
てことでこの設定を無効化。
WindowsServerへの接続はRDPだけなのか?
公式によると、
・RDP(リモートデスクトップ)
・Special Administrative Console
・PowerShell ターミナルを使用
の3つがあるとのこと
・RDP(リモートデスクトップ)
は上記設定で塞いだ。
・Special Administrative Console
はVMインスタンスの設定でシリアルポート接続を有効化をしていないといけないらしい。
デフォルトでは無効であり、トラブルシューティング的に使うものらしいのでこのまま。
・PowerShell ターミナルを使用
は
ファイアウォール ルールを追加して、Windows Server インスタンスが存在する Google Cloud VPC ネットワーク上のポート 5986 を開くようにこのルールを設定します。
とあるので、ファイアウォールルールで許可しない限りは大丈夫。
で、どうなった?
何日か動かした後、こちらに追記します。
2020/9/9追記
設定以降、そのようなログが出力されなくなりました!