最近公司被黑客盯上了,利用公网的3389端口持续暴力破解服务器管理员密码。做了一系列防护,其中之一就是发布修改默认管理员administrator用户名的组策略,哪知域管理员也被修改了用户名。重启adfs发现故障,想起adfs是用域管身份安装和跑服务。去服务管理里面把身份替换一下,重启ok。
可是应用日志持续报错,每秒钟几次那种。日志如下:
日志名称: Application
来源: MSSQLKaTeX parse error: Expected 'EOF', got '#' at position 10: MICROSOFT#̲#WID 日期: …MICROSOFT##WID" />
28005
2
2
0x80000000000000
29791
Application
ad1.test.com
15404
11
***
搜索了相关文章,倾向于是wid安装身份那个域管理员账户名修正了,但是wid内数据库的安全选项没有更新,于是下载ssms软件,尝试管理wid。
很多文章wid的链接都是错的,这边记录下正确的adfs的wid链接:
\.\pipe\MICROSOFT##WID\tsql\query
上面的链接最左面再加一个\,网页语言好复杂自动删掉一个
剩下就简单了,连上数据库,安全那边把administrator用户名修改为新的管理员用户名,保存后重启wid服务,再看日志,问题解决。
有空去研究下wid结构