Я получаю много неудачных попыток входа в систему (1 в секунду) на сервере Windows 2008, я уже установил локальную политику безопасности для автоматической блокировки учетной записи после слишком большого количества попыток входа, но есть ли способ автоматически включить IP-адрес в брандмауэр Windows, чтобы он был временно заблокирован (скажем, на 30 минут)?
Недавно нас завалили подобными попытками, и мы добились большого успеха с fail2ban который делает именно это: блокирует исходный IP-адрес после N неудачных попыток входа в систему.
Хотя он разработан для Linux, отличный ответ Эвана Андерсона на вопрос ServerFault Подходит ли fail2ban для Windows? может помочь вам его реализовать.
Если это «внутренняя» проблема, я бы посоветовал вам последовать приведенным выше советам и найти пользователя / устройство / службу, которая, по сути, пытается ворваться в систему и решить проблему. Если это удаленный вход извне, то существует ряд различных программ / скриптов, которые «запрещают» IP-адрес на несколько часов или дней, чтобы они не могли завершить атаку. Один из этих сценариев написан здесь участником.
Как остановить атаки методом перебора на Терминальный сервер (Win2008R2)?
Каким образом эти попытки внешнего входа могут достичь вашего сервера? На сервере работает веб-сайт с включенной аутентификацией или что-то в этом роде? Какие службы вы используете, которые должны быть открыты для внешнего мира с этого сервера? Если это удаленный рабочий стол, то лично я бы подумал об использовании вместо этого VPN.