टर्मिनल सर्वर (Win2008R2) पर जानवर बल के हमलों को कैसे रोकें?

मैं जानवर बल के हमलों को रोकने के लिए लिनक्स उपकरणों से अधिक परिचित हूं, इसलिए मुझे विंडोज के लिए उपयुक्त उपकरण खोजने में परेशानी हो रही है। मैं टर्मिनल सर्वर के साथ एक विंडोज सर्वर 2008 R2 चला रहा हूं, और आरडीपी के माध्यम से लॉगिन करने के लिए बार-बार प्रयास करने के बाद मैं एक आईपी ब्लॉक करना चाहूंगा। कोई संकेत?

rdp लॉगिन प्रयासों को रोकने के लिए, जैसा कि पहले ही बताया गया है, आपको किसी विशेष आईपी को अलग करने के लिए अपने फ़ायरवॉल पर नियंत्रण की आवश्यकता है। आप प्रशासनिक उपकरणों में कुछ सेटिंग्स कर सकते हैं -> टर्मिनल सेवा प्रबंधक लेकिन इस तरह से एक आईपी को रोकने के लिए कुछ नहीं कर सकते। हो सकता है कि आप rdp पोर्ट को सुनने और लॉगऑन विफलताओं को नियंत्रित करने के लिए एक बैच स्क्रिप्ट पर विचार करें, इसलिए यदि एक ही आईपी द्वारा एक टोटका प्रयास (आप संख्या ...) चुनते हैं, तो समय की ज्ञात अवधि के लिए कोई अन्य प्रयास नहीं कर सकता है। हो। मुझे यकीन नहीं है कि यह संभव है, लेकिन एक तरीका हो सकता है ...

आप वास्तव में अपने किनारे फ़ायरवॉल पर इन प्रयासों को अवरुद्ध करना चाहिए, अगर केवल दर-सीमित करने के साथ। यदि आपके पास ऐसा करने की क्षमता नहीं है, तो पढ़ें।

यदि आप किनारे फ़ायरवॉल पर ब्लॉक नहीं कर सकते हैं और आने वाले कनेक्शनों को बंद करने के लिए अंतर्निहित इंटरनेट फ़ायरवॉल सुविधाओं का उपयोग करके आरडीपी को केवल इंटरनेट के सबसेट तक खोलने की आवश्यकता है।

अंत में, यदि आपके पास वास्तव में आरडीपी होना चाहिए , तो आप पूरे इन्टनेट के लिए खुले हो सकते हैं, जो कि विंडोज के लिए मेरे एसएसएच ब्रूट फोर्स ब्लॉकर प्रोग्राम के संशोधित संस्करण पर एक नज़र हो सकता है, जो कि मेरे पास जीथब रिपॉजिटरी में है । यह स्क्रिप्ट, ts_block, Windows Server 2003, 2008 और 2008 R2 पर बल बल टर्मिनल सेवा लॉगऑन को ब्लॉक करता है। दुर्भाग्य से, आरडीपी के लिए TLS / SSL सुरक्षा परत का उपयोग करते समय विंडोज द्वारा लॉग इन की गई घटनाओं में बदलाव के कारण यह स्क्रिप्ट अप्रभावी होती जा रही है । (Microsoft ने प्रमाणित करने का प्रयास करने वाले होस्ट के आईपी पते को छोड़ना क्यों चुना है यह मेरे से परे है। ऐसा लगता है कि लॉग करने के लिए एक बहुत महत्वपूर्ण बात होगी, एह?)

मेरे पास एक C # प्रोग्राम है जो ठीक यही करता है। मेरे पास सर्वर 2008 R2 पर एक समस्या थी जहां इवेंट लॉग हमेशा उपयोगकर्ता के आईपी पते (यदि वे नए दूरस्थ डेस्कटॉप क्लाइंट से जुड़े हुए हैं) को सूचीबद्ध नहीं करते थे। कुछ सेवाएं अपने स्वयं के क्रेडेंशियल चेक प्रदाता को लागू करती हैं जो आपके द्वारा वांछित सभी जानकारी प्रदान नहीं करती हैं।

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

हालांकि दूरस्थ डेस्कटॉप के लिए मुझे पता चला कि "दूरस्थ डेस्कटॉप सत्र होस्ट कॉन्फ़िगरेशन" में जाकर "वार्ता" या "SSL (TLS 1.0)" के बजाय "RDP सुरक्षा परत" की सुरक्षा परत रखने के लिए RDP-TCP कनेक्शन को बदलना आईपी ​​पते।

क्या आप वास्तव में ऐसा करना चाहते हैं, आपके लिए एक और सवाल है, "यदि आप RDP सुरक्षा परत का चयन करते हैं, तो आप नेटवर्क स्तर प्रमाणीकरण का उपयोग नहीं कर सकते।"

मुझे http://www.windowsecurity.com/articles/logon-types.html मददगार लगा। मैंने EventLogWatcher का उपयोग किया और "* [सिस्टम / EventID = 4625 या सिस्टम / EventID = 4624] के लिए बाध्य था, इसलिए मैं सफलता पर एक खराब गणना को रीसेट कर सकता था यदि उपयोगकर्ता वास्तव में अपना पासवर्ड गलत मिला। इसके अलावा मैंने :: 1, 0.0.0.0, 127.0.0.1 और "-" को सफेद कर दिया। आप श्वेतसूची LAN / प्रबंधन IP की इच्छा रख सकते हैं या नहीं कर सकते हैं।

मैं फ़ोरफ़्रंट TMG का उपयोग करता हूं, इसलिए मैंने उस तरह से IP के समूह में खराब IP पते जोड़ने के लिए API का उपयोग किया और मैंने सिस्को को अपने SMB राउटर्स में से एक में API एक्सेस जोड़ने के लिए कहा है (जो उन्होंने मुझे आश्वासन दिया है कि वे बस कर सकते हैं!)

यदि आप देशी विंडोज फ़ायरवॉल का उपयोग करना चाहते हैं तो उन्हें ब्लॉक करने के लिए एपीआई पर नज़र डालनी चाहिए ("netsh advfirewall")।

मैं प्रतिबंध लगाने से पहले एक्स के प्रयासों की संख्या की अनुमति देता हूं और एक सफलता गिनती को रीसेट कर देगी।

क्या आप ब्रेक-इन्स या बरबाद लॉग को रोकने की कोशिश कर रहे हैं? यदि आप ब्रेक-इन को रोकने की कोशिश कर रहे हैं, तो विंडोज के पास लॉग-इन करने के प्रयासों को अवरुद्ध करने का एक अंतर्निहित तरीका है। कंप्यूटर कॉन्फ़िगरेशन में एक खाता लॉकआउट थ्रेशोल्ड ग्रुप पॉलिसी सेटिंग है -> नीतियां -> विंडोज सेटिंग्स -> सुरक्षा सेटिंग्स -> खाता नीति -> खाता लॉकआउट नीति।

हमलावर सामान्य उपयोगकर्ता नाम प्रशासक की तरह उपयोग करेंगे, और वे निश्चित रूप से उन लोगों को बंद कर देंगे। आपको वास्तविक प्रशासन के लिए एक अलग खाते की आवश्यकता होगी, जो कि किसी भी तरह संभव है।

फ़ायरवॉल स्तर पर स्वचालित रूप से अवरुद्ध करने के लिए फ़ायरवॉल नियमों के स्वचालित अद्यतन के साथ कुछ स्क्रिप्टेड लॉग रीडिंग की आवश्यकता होगी। आपको इस तरह आईपी पते के आधार पर नियम जोड़ने में सक्षम होना चाहिए। यह मूल रूप से लिनक्स सिस्टम में iptables क्या करता है।

यह थोड़ा स्पष्ट हो सकता है, लेकिन क्या आपने एक गैर-मानक पोर्ट पर दूरस्थ डेस्कटॉप सेवा चलाने पर भी विचार किया है ? यह मेरे लिए ब्रेक-इन को विफल करने के लिए बहुत प्रभावी रहा है।

कुछ अन्य समाधान भी हैं यदि आप इसके बजाय GUI आधारित समाधान करना चाहते हैं और वास्तव में विभिन्न घटनाओं के लिए नियमों के विभिन्न सेट बनाते हैं। सबसे आसान RDPGuard (hxxp: //www.rdpguard.com) होगा, लेकिन एक कॉर्पोरेट वातावरण में आप शायद अधिक रिपोर्टिंग चाहते हैं, जहां से हमला हुआ (देश, मूल) और क्या उपयोगकर्ता नाम का उपयोग किया गया था ताकि आप जल्दी से तय करें कि क्या यह आपके स्वयं के उपयोगकर्ताओं में से एक गलती से खुद को रोक रहा है या जहां आप जानते हैं कि वे नहीं हैं, वहां से प्रवेश करने की कोशिश कर रहे हैं।

व्यक्तिगत रूप से मुझे Syspeace (hxxp: //www.syspeace.com) पसंद है, जो हमारे लिए उन सभी चीजों को करता है, लेकिन मुझे लगा कि मैं उन दोनों का जिक्र करूंगा।

समाधान सरल है: Windows फ़ायरवॉल को सेटअप करें ताकि केवल श्वेत सूची वाले IP पते RDP को वांछित बॉक्स में शामिल कर सकें। निम्नलिखित संसाधन देखें: मैं एक आईपी से विंडोज 2008 आर 2 सर्वर तक आरडीपी की अनुमति कैसे दे सकता हूं?

अपने विंडोज वेबसर्वर पर आरडीपी ब्रूट बल के हमलों को मुफ्त में कैसे रोकें

https://www.itsmdaily.com/block-rdp-brute-force-attacks-windows-webserver-free/

मेमोरी समस्या !!!!!!: https://gitlab.com/devnulli/EvlWatcher/issues/2

windows के लिए fail2ban,।

https://github.com/glasnt/wail2ban