Я хотел бы запретить IP-адреса после неправильных попыток входа в систему на компьютере с Windows Server 2008 R2, в администрировании которого я помогаю, (прямо сейчас RDP, скоро будет VPN, скоро станет VPN).
это В ответе конкретно говорится о ssh, которым я не пользуюсь.
это в ответе упоминаются терминальные службы и удаленный рабочий стол.
Никто конкретно не упоминает VPN.
Будут ли оба эти условия применяться к VPN? Я немного не уверен, как Windows обрабатывает эти различные неудачные попытки входа в систему. Это выглядит как это будет Тип входа: 10 (RDP) и Тип входа: 3 (VPN + терминальные службы ...?) Насколько я понимаю об этих инструментах, им придется анализировать журнал событий Windows, чтобы получить неправильные входы в систему, и затем измените правила брандмауэра.
Я бы хотел попробовать WinFail2Ban потому что я использовал его раньше в Linux. Администрирование Linux (только SSH!) НАМНОГО проще. У кого-нибудь есть опыт с этим? Это будет работать? Я нашел НУЛЕВОЙ вопрос с WinFail2Ban на serverfault.
Огромное спасибо за помощь. Я просто начну пробовать, наверное, начиная с WinFail2Ban. Поскольку я новичок в Windows Server 2008, я хотел сначала задать здесь вопрос.
У меня есть программа на C #, которая делает именно это. У меня была проблема на Server 2008 R2, когда в журнале событий не всегда указывались IP-адреса пользователя (если они подключались из новых клиентов удаленного рабочего стола). Некоторые службы реализуют своего собственного поставщика проверки учетных данных, который не предоставляет всю необходимую вам информацию.
Однако для удаленного рабочего стола я обнаружил, что переход в «Конфигурация узла сеанса удаленного рабочего стола» и изменение соединения RDP-TCP на уровень безопасности «Уровень безопасности RDP» вместо «Согласование» или «SSL (TLS 1.0)» вернули IP-адреса.
Действительно ли вы хотите сделать это - другой вопрос для вас: «Если вы выберете уровень безопасности RDP, вы не сможете использовать аутентификацию на уровне сети».
VPN должен генерировать похожие события в журнале безопасности (я обнаружил http://www.windowsecurity.com/articles/logon-types.html быть полезным). Я использовал EventLogWatcher и привязал его к «* [System / EventID = 4625 или System / EventID = 4624]», чтобы я мог сбросить неверный счет на успех, если пользователь действительно только что ошибся паролем. Также я добавил в белый список :: 1, 0.0.0.0, 127.0.0.1 и «-».
Я использую Forefront TMG, поэтому я использовал API для добавления плохих IP-адресов к группе IP-адресов таким образом, и я попросил Cisco добавить API-доступ к одному из своих SMB-маршрутизаторов (что они заверили меня, что они могут это сделать!)
Если вы хотите использовать собственный брандмауэр Windows, чтобы заблокировать их, обратите внимание на API для этого («netsh advfirewall»).