Nikovit <Путешествия и разработка>

Защищаем RDP сервер от перебора паролей с блокировкой по IP

Для защиты RDP сервера от брутфорса мы воспользуемся утилитой IPBan от Jeff Johnson.
Утилита IPBan блокирует ip адресс с которго идет перебор паролей после нескольких неудачных попыток авторизации.

Для начала проведем подготовительный этап.

Для того чтобы в логах системы отоброжались IP адреса с которых идет перебор паролей, нам нужно включить аудит событий.

Переходим  в "Локальные политики" (Win + R, введите secpol.msc и "OK"). --> "Политика аудита" и включить регистрацию событий для "Аудита входа в систему" и "Аудита событий входа в систему":

audit.png
Подготовительный этап закончен, переходим к настройке IPBan

Скачиваем утилиту https://github.com/DigitalRuby/IPBan/releases для своей разрядности Windows.

Распаковываем архив, к примеру на диск C:\ в папку ipban.

Запускаем cmd консоль обязательно с правами Администратора.

И прописываем IPBan как службу Windows, командой:
sc.exe create IPBAN type= own start= delayed-auto binPath= c:\ipban\DigitalRuby.IPBan.exe DisplayName= IPBAN
ipban.png
Заходим в оснастку служб Windows (Win + R, введите services.msc и "OK") находим и запускаем службу IPBAN

ipban2.png
IPBan отслеживает неудачные попытки входа и добавляет правило для Windows фаервола.
Удалить случайно добавленный ip адрес либо посмотреть какие адреса сейчас добавленны можно в оснастке фаервола - правило IPBan_Block_0:
firewol.png

Вот и все, теперь наш Windows сервер зашишен от перебора паролей.
Фото:


0
Виктор
21.11.2019 13:49:14
После установки параметра "Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM" и установите значение "Запретить все учетные записи" перестало пускать на сервер!!! Windows Server 2019
0
25.11.2019 11:03:49
Да, на 2019 только NTLM2, убрал этот пункт из статьи.