Я регулярно подвергаюсь атакам грубой силы на мой Windows Server 2003 с установленным Citrix. Как я могу автоматически заблокировать IP-адреса, у которых было несколько неудачных попыток входа в систему?
На этот вопрос уже есть пара ответов которые работают в Windows 2008 и которые я успешно использую в своей сети (код @ MichaelKhalili). Я также нашел sshd_block здесь это применимо также к Windows 2003, но нацелено на ssh. К сожалению, у меня нет опыта, чтобы адаптировать его для попыток входа на сервер терминалов.
Спасибо за вашу помощь.
У меня нет точного ответа, но я не хотел оставлять его в качестве комментария.
Вам придется периодически сканировать журнал событий и блокировать IP-адреса на лету для Windows Server 2003. Я не вижу простого способа сделать это без задачи, запускаемой событием, как в Windows 2008+. Если у вас есть окно AD Windows Server 2008, вы можете использовать его, чтобы зафиксировать недопустимую попытку входа в домен и выполнить сценарий, который предотвращает подключение с этого IP-адреса. Но через определенное время вам, возможно, придется разблокировать этот IP-адрес. И сделать эту очистку может быть сложно. Но вы можете сделать это с помощью VBScript или любого другого языка сценариев.
Как насчет запрета всех диапазонов IP-адресов из географических областей за пределами вашей пользовательской базы. Например, зарубежные страны - хорошее место для начала. Это не решит вашу проблему, но может помочь немного уменьшить трафик. Некоторые брандмауэры имеют эту встроенную функцию. Наш Sonicwall довольно хорошо справляется со своей функцией "Geo-IP". Это далеко не идеально, но, безусловно, помогает ...