Если бы у меня был сервер (Windows Server 2008) в Интернете, на котором разрешены подключения к удаленному рабочему столу, есть ли что-нибудь, что помешало бы случайным людям попытаться использовать комбинации имени пользователя и пароля методом грубой силы?
например заблокирует ли он пользователей или IP-адреса после определенного количества сбоев?
Не открывайте порт 3389 для Интернета. Используйте шлюз служб удаленных рабочих столов (шлюз удаленных рабочих столов) и окунитесь в теплое нечеткое одеяло защищенного SSL RDP через HTTPS!
(Он все еще может называться TS Gateway на Server 2008, отличном от R2; не помню.)
Вы можете добавить роль RDS в Windows Server 2008 R2. Шлюз удаленных рабочих столов является ролевой службой RDS.
Это дает вам возможность «RDP» для шлюза удаленных рабочих столов с использованием обычного клиента RDP (версия 7+) через защищенный SSL порт 443, а не традиционный порт 3389. Через этот шлюз вы можете легко использовать RDP для внутреннего хосты, которые находятся на другой стороне шлюза. Вы используете RD CAP и RD RAP, чтобы точно контролировать, кто и к чему может подключаться. Вы используете сертификат PKI для SSL.
Это значительно безопаснее, чем обычный RDP. Кроме того, он не так уязвим для определенных эксплойтов, которые в последнее время поражают обычный RDP, например MS012-020.
Здесь вы можете найти очень подробное руководство:
(Отредактировано в комментариях):
Как уже отмечалось, протокол RDP обычно не следует размещать напрямую в общедоступном Интернете. Ограничить это воздействие можно несколькими способами, просто заблокировав доступ к порту 3389, кроме VPN, или используя шлюз удаленных рабочих столов для более продвинутого решения. Если у вас есть IPS или IDS + Firewall, который поддерживает его, вы можете использовать их для блокировки хостов с повторяющимися ошибками входа в систему.
Для внутренней защиты от перебора вы можете установить политики блокировки в локальной политике безопасности. Существуют настройки продолжительности блокировки учетной записи, порога блокировки учетной записи и времени ожидания перед сбросом блокировки.
Вы можете использовать secpol.msc для изменения этих параметров: secpol.msc -> Настройки безопасности -> Политики учетных записей -> Политика блокировки учетных записей.
Я заметил, что на этот вопрос есть ответ, но у вас есть «открытый» протокол RDP в Интернете. Начинают звонить будильники. Вы действительно нужно подумать о том, чтобы сделать это с помощью SSL VPN.