Win2008R2: Prevenção de ataques de força bruta

3

Estou usando o Windows 2008 R2.

Eu estou querendo saber se existe alguma maneira de bloquear um ataque de força bruta.

Eu consultei aqui e ali e não consegui encontrar uma maneira de bloquear um endereço IP depois que ele fez algumas tentativas falhas de logon.

Talvez eu tenha perdido algo óbvio.

Deve haver algo que monitore o log de eventos para eventos de falha de logon e bloqueie o endereço IP culpado

    
por user385411 19.06.2011 / 00:02

3 respostas

3

Se você quiser bloquear o ip você pode usar políticas de firewall para bloquear o ip. O Windows irá bloquear uma conta e desbloqueá-la automaticamente nos horários especificados nas políticas de segurança da conta. Isso normalmente impede que ataques de força bruta, quando definidos em horários razoáveis, mas em um servidor não monitorado, possam levar a um ataque do DOS. Uma solução simples é escrever um script para analisar os logs para bloqueios de conta e após o número N de bloqueios bloquear o ip. Esse script pode ser executado em qualquer intervalo que faça sentido para sua situação. Um IDS também resolverá o problema.

    
por 19.06.2011 / 03:56
3

No editor de políticas de grupo,

Computer configuration \ Windows Settings \ Security settings \ Account policies \ Account lockout policy

Votou para migrar para o SF.

    
por 19.06.2011 / 00:17
1

Eu encontrei este excelente resumo de por que as políticas de bloqueio de conta não funcionam (do link )

Os problemas com bloqueios de conta são: Um invasor pode causar uma negação de serviço (DoS) bloqueando um grande número de contas.

Como você não pode bloquear uma conta que não existe, somente os nomes de conta válidos serão bloqueados. Um invasor pode usar esse fato para coletar nomes de usuários do site, dependendo das respostas de erro.

Um invasor pode causar um desvio bloqueando muitas contas e inundando o suporte técnico com chamadas de suporte.

Um invasor pode bloquear continuamente a mesma conta, mesmo segundos depois que um administrador a desbloqueia, desabilitando efetivamente a conta.

O bloqueio de conta é ineficaz contra ataques lentos que tentam apenas algumas senhas a cada hora.

O bloqueio de conta é ineficaz contra ataques que tentam uma senha em relação a uma grande lista de nomes de usuário.

O bloqueio de conta é ineficaz se o invasor estiver usando uma lista de combinação de nome de usuário / senha e adivinhar corretamente nas primeiras tentativas.

Contas poderosas, como contas de administrador, muitas vezes ignoram a política de bloqueio, mas essas são as contas mais desejáveis para o ataque. Alguns sistemas bloqueiam contas de administrador apenas em logins baseados em rede.

Mesmo depois de bloquear uma conta, o ataque pode continuar, consumindo recursos humanos e de computador valiosos.

Existem alguns softwares por aí que podem ajudá-lo. Alguns scripts que um teria que modificar e pelo menos dois com GUI, chamado Syspeace e RDP Guard

    
por 23.07.2012 / 16:45