Você tem algumas opções disponíveis para você.
-
Mitigar o ponto de ataque - Implementar algo como Gateway TS , que terá todo o tráfego RDP vai para a porta SSL padrão de 443. Isso permitirá que você feche a porta 3389 do mundo externo, reduzindo (se não eliminando) suas tentativas de força bruta. Dito isto, o cliente Mac RDP ainda não é compatível com o TS Gateway, por isso, se tiver Macs a ligar, poderá estar sem sorte.
-
Implementar uma política de bloqueio de conta - Permitir 5 tentativas incorretas de login antes de bloquear a conta. A maioria das tentativas de força bruta acontece com nomes específicos (como eu tenho certeza que você pode dizer) para que eles parem de tentar se a conta for bloqueada. Ocasionalmente, você verá um bot que tentará vários nomes, mas a maioria deles tentará apenas um nome específico (ou seja, proprietário, root, teste, besadmin, etc)
-
Você poderia implementar uma VPN - Premissa similar ao Gateway TS que uma VPN colocaria seus usuários dentro do firewall, novamente permitindo fechar a porta 3389. A ressalva aqui é que a maioria dos administradores não deseja computadores desconhecidos. conectando-se à sua VPN, então eu só implementaria isso se os computadores conectados estivessem sob seu controle.
Existem ferramentas de terceiros disponíveis para ajudá-lo a bloquear tentativas de força bruta, mas como você pode ver, isso pode ser feito sem elas também. Mesmo antes de termos um Gateway TS estabelecido, a implementação de uma política de bloqueio reduziu drasticamente o tráfego que vimos na porta 3389.