Чрезмерные попытки входа на удаленный рабочий стол

Решение

Юк Дин из Microsoft предоставил эту ссылку на ошибку сервера: Как получить IP-адрес, который содержит несколько опций для записи искомых IP-адресов для входа.

Не похоже, что эта информация доступна в журнале по умолчанию, который я искал. Казалось бы, необходимо создать прослушиватель событий для регистрации IP-адресов.

Сценарий PowerShell для чтения IP-адресов

SET logfile="rdp_ip_logs.log"
netstat -n | find ":3389" | find "ESTABLISHED">>%logfile%

@chaz предоставил полезный сценарий PowerShell для чтения IP-адресов, связанных с неудачными попытками входа в систему, кликните сюда.

Сценарий брандмауэра Windows для блокировки IP-адресов

Я нашел очень полезный сценарий PowerShell для автоматизации задачи блокировки IP-адресов в брандмауэре Windows. Сценарий написал Джейсон Фоссен.

Следующее взято с веб-сайта Джейсона Вот.

Брандмауэром Windows на основе хоста легко управлять с помощью сценариев и инструмента командной строки NETSH.EXE. Эта статья посвящена простому сценарию PowerShell, который может создавать правила для блокировки входящего и исходящего доступа к тысячам IP-адресов и диапазонов сетевых идентификаторов, например, для злоумышленников и нежелательных стран.

Чтобы получить сценарий, загрузите zip-файл SEC505 здесь или со страницы "Загрузки", откройте zip-архив и найдите в папке "Day5-IPSec" сценарий с именем Import-Firewall-Blocklist.ps1 (а также образец файла BlockList.txt. ). Как и все другие сценарии в zip-файле, этот сценарий является бесплатным и находится в открытом доступе.

Интегрированные скрипты с C #

Я написал программу на C # для интеграции скриптов, которая уменьшила количество ежедневных неудачных попыток входа в систему с 160 000+ до небольшого потока.

Надеюсь, что эта короткая статья / ссылки помогут другим, борющимся с той же проблемой. Свяжитесь со мной, если у вас возникнут проблемы / вопросы.