Como parar ataques de força bruta no Terminal Server (Win2008R2)?

para parar as tentativas de login do rdp, como já foi dito, você precisa controlar seu firewall para isolar um ip em particular. Você pode fazer algumas configurações nas ferramentas Administrativas - > Gerenciador de serviços de terminal, mas não pode fazer nada para parar um ip dessa maneira. Talvez você tenha que considerar um script em lote para escutar a porta rdp e controlar as falhas de logon, portanto, se houvesse tentativas tot (você escolher o número ...) pelo mesmo ip, nenhuma outra tentativa de um intervalo de tempo conhecido poderia estar. Não tenho certeza se é possível, mas poderia ser uma maneira ...

Você realmente deve bloquear essas tentativas em seu firewall de borda, mesmo que apenas com limitação de taxa. Se você não tem a capacidade de fazer essa leitura.

Se você não puder bloquear o firewall de borda e precisar que o RDP seja aberto apenas para um subconjunto da Internet, use os recursos internos do Firewall do Windows para bloquear as conexões de entrada.

Finalmente, se você realmente precisar ter o RDP aberto para toda a Intenet, você pode dar uma olhada na versão modificada de meu programa de bloqueio de força bruta SSH para Windows que eu tenho em um repositório do github . Este script, ts_block, bloqueia as tentativas de logon dos Serviços de Terminal de força bruta no Windows Server 2003, 2008 e 2008 R2. Infelizmente, devido a alterações nos eventos registrados pelo Windows ao usar a camada de segurança TLS / SSL para RDP esse script está se tornando cada vez mais ineficaz . (Por que a Microsoft optou por omitir o endereço IP do host tentando autenticar é além de mim. Parece que isso seria uma coisa muito importante para log, hein?)

Eu tenho um programa em C # que faz exatamente isso. Eu tive um problema no Server 2008 R2 em que o log de eventos nem sempre listava os endereços IP do usuário (se eles estivessem conectados a partir dos clientes mais recentes da Área de Trabalho Remota). Alguns serviços implementam seu próprio provedor de verificação de credenciais que não fornece todas as informações que você deseja.

link

Para a Área de Trabalho Remota, descobri que entrar em "Configuração do Host de Sessão da Área de Trabalho Remota" e alterar a conexão RDP-TCP para ter a camada de segurança "RDP Security Layer" em vez de "Negociar" ou "SSL (TLS 1.0)" trouxe de volta os endereços IP.

Se você realmente quer fazer isso é outra pergunta para você: "Se você selecionar RDP Security Layer, não poderá usar a Autenticação no Nível da Rede."

Encontrei o link para ser útil. Eu usei EventLogWatcher e vinculado a "* [System / EventID = 4625 ou System / EventID = 4624]" para que eu pudesse redefinir uma contagem incorreta no sucesso se o usuário realmente tivesse a senha errada. Também coloquei na lista de permissões :: 1, 0.0.0.0, 127.0.0.1 e "-". Você pode ou não desejar colocar na lista de permissões LAN / IPs de gerenciamento.

Eu uso o Forefront TMG, então usei a API para adicionar endereços IP inválidos a um grupo de IPs dessa maneira e pedi à Cisco para adicionar acesso API a um dos roteadores SMB (o que eles me garantiram que talvez fizessem !)

Se você quiser usar o Firewall do Windows nativo para bloqueá-los, dê uma olhada na API para isso ("netsh advfirewall").

Eu permito x número de tentativas antes de banir e um sucesso irá redefinir a contagem.

Você está tentando impedir invasões ou logs desordenados? Se você está tentando impedir invasões, o Windows tem uma maneira interna de bloquear tentativas de login. Há uma configuração de Diretiva de Grupo de Limite de Bloqueio de Conta na Configuração do Computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Política de conta - > Política de bloqueio de conta.

Os atacantes usarão nomes de usuários comuns, como Administrador, e eles certamente os bloquearão. Você precisaria de uma conta separada para administração real, o que provavelmente é aconselhável de qualquer maneira.

O bloqueio automático no nível do firewall exigirá uma leitura de log com scripts, com atualização automática das regras de firewall. Você deve poder adicionar regras baseadas no endereço IP dessa maneira. Isso é basicamente o que o iptables faz em um sistema Linux.

Pode ser um pouco óbvio, mas você também considerou a execução dos Serviços de Área de Trabalho Remota em um padrão. porta ? Isso tem sido muito eficaz para mim em impedir invasões.

Existem algumas outras soluções também se você deseja ter uma solução baseada em GUI e criar diferentes conjuntos de regras para diferentes eventos. O mais fácil seria o RDPGuard (hxxp: //www.rdpguard.com), mas em um ambiente corporativo você provavelmente desejaria mais relatórios, como de onde veio o ataque (país, origem) e qual nome de usuário foi usado para que você possa rapidamente decida se é um dos seus próprios usuários bloqueando-se acidentalmente ou tentando fazer o login de onde você sabe que eles não estão.

A solução é simples: configure o Firewall do Windows para que somente os endereços IP da lista de permissões possam RDP nas caixas desejadas. Consulte o seguinte recurso: Como posso permitir o acesso RDP a um servidor Windows 2008R2 a partir de um IP?

Como bloquear ataques de força bruta RDP no seu servidor Web Windows gratuitamente

link

Problema de memória !!!!!!: link

fail2ban, para janelas.

link

Tivemos um ataque de força bruta no nosso servidor RDS de 2012r2 do lado de fora e não pudemos coletar informações de IP de origem diretamente e, como ele usa o TLS / SSL, até o firewall teve dificuldade em reunir as informações. Veio através deste produto que funciona como um campeão e é muito acessível. RDPGuard Eles oferecem um teste gratuito de 30 dias, que é totalmente funcional. Corra e veja o que realmente está acontecendo.