Как остановить атаки перебором Терминального сервера (Win2008R2)?

Вам действительно следует заблокировать эти попытки на вашем пограничном брандмауэре, хотя бы с ограничением скорости. Если у вас нет возможности сделать это, читайте дальше.

Если вы не можете заблокировать на граничном брандмауэре и вам нужно, чтобы RDP был открыт только для подмножества Интернета, используйте встроенные функции брандмауэра Windows для блокировки входящих подключений.

Наконец, если вы действительно должны иметь RDP, открытый для всего Интернета, вы можете взглянуть на модифицированную версию моей программы блокировки грубой силы SSH для Windows , которую я иметь в репозиторий на github . Этот сценарий, ts_block, блокирует попытки грубой силы входа в службы терминалов в Windows Server 2003, 2008 и 2008 R2. К сожалению, из-за изменений в событиях, регистрируемых Windows при использовании уровня безопасности TLS / SSL для RDP , этот сценарий становится все более неэффективным . (Почему Microsoft решила опустить IP-адрес хоста, пытающегося пройти аутентификацию, мне не по душе. Похоже, это будет довольно важная вещь для регистрации, а?)

Вы пытаетесь предотвратить взлом или загроможденные журналы? Если вы пытаетесь предотвратить взлом, в Windows есть встроенный способ блокировать попытки входа в систему. В Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> есть параметр групповой политики порога блокировки учетной записи. Политика учетной записи -> Политика блокировки учетной записи.

Злоумышленники будут использовать общие имена пользователей, такие как администратор, и они обязательно заблокируют их. Для фактического администрирования вам понадобится отдельная учетная запись, что, вероятно, в любом случае рекомендуется.

Автоматическая блокировка на уровне брандмауэра потребует чтения журнала с помощью сценария с автоматическим обновлением правил брандмауэра. Таким образом вы сможете добавлять правила на основе IP-адреса. Это в основном то, что iptables делает в системе Linux.

Это может быть немного очевидно, но рассматривали ли вы также возможность запуска служб удаленных рабочих столов на нестандартном порту ? Это было очень эффективным для меня в предотвращении взломов.

Также есть несколько других решений, если вы хотите вместо этого иметь решение на основе графического интерфейса и действительно создавать разные наборы правил для разных событий. Самым простым будет RDPGuard (hxxp: //www.rdpguard.com), но в корпоративной среде вам, вероятно, потребуется больше отчетов, например, откуда произошла атака (страна, происхождение) и какое имя пользователя было использовано, чтобы вы могли быстро решите, случайно ли это один из ваших пользователей блокирует себя или пытается войти в систему, откуда вы знаете, что это не так.

Лично мне нравится Syspeace (hxxp: //www.syspeace.com), который делает все это за нас, но я подумал, что все равно упомяну их обоих

У меня есть программа на C#, которая делает именно это. У меня была проблема на сервере 2008 R2, где в журнале регистрации событий не всегда перечислялись IP-адреса пользователей (если они подключались с новых клиентов Remote Desktop). Некоторые службы реализуют свой собственный провайдер проверки полномочий, который не предоставляет всей необходимой информации.

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

Для Remote Desktop, однако, я обнаружил, что переход в "Конфигурацию хоста сеанса удаленного рабочего стола" и изменение RDP-TCP соединения, чтобы оно имело уровень безопасности "RDP Security Layer" вместо "Negotiate" или "SSL (TLS 1. 0)" вернул IP-адреса.

Хотите ли вы сделать это, для вас это еще один вопрос: "Если вы выберете уровень безопасности RDP, вы не сможете использовать аутентификацию на сетевом уровне"

Я нашел http://www.windowsecurity.com/articles/logon-types.html полезным. Я использовал EventLogWatcher и привязал его к "*[System/EventID=4625 или System/EventID=4624]", чтобы сбросить плохой счет на успех, если пользователь действительно просто ошибся паролем. Также я попал в белый список ::1, 0.0.0.0, 127.0.0.1 и "-". Вы можете или не хотите внести в белый список LAN / IP-адреса управления.

Я использую Forefront TMG, поэтому я использовал API для добавления плохих IP-адресов к группе IP-адресов таким образом, и попросил Cisco добавить доступ к API к одному из их SMB-маршрутизаторов (что, как они меня заверили, они просто могут сделать!)

Если вы хотите использовать родной брандмауэр Windows Firewall для их блокирования, взгляните на API для этого ("netsh advfirewall").

Я разрешаю x количество попыток до того, как я запрещаю, и успех сбрасывает счет.

Решение простое : Настройте брандмауэр Windows таким образом, чтобы только IP-адреса из белого списка могли использовать RDP в нужных полях. См. Следующий ресурс: Как я могу разрешить RDP-доступ к серверу Windows 2008R2 с одного IP-адреса?

Как бесплатно заблокировать атаки методом грубой силы RDP на ваш веб-сервер Windows

https://www.itsmdaily.com/block-rdp-brute-force-attacks-windows-webserver- бесплатно /

Проблема с памятью !!!!!!: https://gitlab.com/devnulli/EvlWatcher/issues/2

fail2ban, для Windows.

https://github.com / glasnt / wail2ban

мы улучшили сценарий powershell, так как fail2ban и другие решения не сработали. это работает и для серверов 2012, 2016, 2019.

смотрите мой пост, если хотите использовать скрипт: Удаленный рабочий стол терминала не удалось войти в систему брандмауэра BruteForce Block Script