Я использую Windows 2008 R2.
Мне интересно, есть ли способ заблокировать атаку грубой силы.
Я искал здесь и там, и я не мог найти способ заблокировать IP-адрес после того, как он предпринял несколько неудачных попыток входа в систему.
Может я что-то упустил очевидное.
Должно быть что-то, что отслеживает журнал событий для событий сбоя входа в систему и блокирует IP-адрес виновника
В редакторе групповой политики
Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Политики учетной записи \ Политика блокировки учетной записи
Проголосовал за переход в SF.
Если вы хотите заблокировать ip, вы можете использовать политики брандмауэра, чтобы заблокировать ip. Windows заблокирует учетную запись и автоматически разблокирует ее в моменты, указанные в политиках безопасности учетной записи. Обычно это предотвращает атаки методом грубой силы, если установлено в разумное время, но на неконтролируемом сервере, может привести к атаке DOS. Простое решение - написать сценарий для анализа журналов на предмет блокировки учетных записей и после N блокировок заблокировать IP. Этот сценарий может запускаться по расписанию с любым интервалом, который подходит для вашей ситуации. IDS также решит проблему.
Я нашел это отличное резюме того, почему политики блокировки учетных записей не помогут (из https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks)
Проблемы с блокировкой учетных записей: Злоумышленник может вызвать отказ в обслуживании (DoS), заблокировав большое количество учетных записей.
Поскольку вы не можете заблокировать учетную запись, которая не существует, будут заблокированы только допустимые имена учетных записей. Злоумышленник может использовать этот факт для сбора имен пользователей с сайта в зависимости от ответов об ошибках.
Злоумышленник может вызвать переадресацию, заблокировав множество учетных записей и переполнив службу поддержки звонками в службу поддержки.
Злоумышленник может постоянно блокировать одну и ту же учетную запись, даже через несколько секунд после того, как администратор разблокирует ее, фактически отключив учетную запись.
Блокировка учетной записи неэффективна против медленных атак, которые каждый час перебирают всего несколько паролей.
Блокировка учетной записи неэффективна против атак, которые пытаются использовать один пароль для большого списка имен пользователей.
Блокировка учетной записи неэффективна, если злоумышленник использует комбинированный список имени пользователя и пароля и правильно угадывает с первой пары попыток.
Мощные учетные записи, такие как учетные записи администраторов, часто обходят политику блокировки, но это наиболее желательные учетные записи для атаки. Некоторые системы блокируют учетные записи администратора только при входе в систему через сеть.
Даже после того, как вы заблокируете учетную запись, атака может продолжиться, потребляя ценные человеческие и компьютерные ресурсы.
Есть несколько программ, которые могут вам помочь. Несколько скриптов, которые нужно будет изменить, и как минимум два с графическим интерфейсом, называемые Syspeace и RDP Guard.