禁止、减慢或停止对 RDP 的大量登录尝试

Question

禁止、减慢或停止对 RDP 的大量登录尝试

Edu*_*eni 23 windows-server-2008-r2

来自客户端名称 a 的远程会话超出了允许的最大失败登录尝试次数。会话被强行终止。

其中一台服务器受到字典攻击。我有所有标准的安全措施（重命名为管理员等），但想知道有没有办法限制或禁止攻击。

编辑：服务器只是远程的。我需要RDP 才能访问它。

Answer 1

Jas*_*erg 29

在防火墙处阻止 RDP。我不知道为什么这么多人允许这样做。如果您需要 RDP 到您的服务器，请设置一个 VPN。

不知道为什么您如此强烈反对允许 RDP。加密并没有那么糟糕，与 https 相同。通过设置 VPN，您基本上所做的就是更改攻击者需要使用暴力的对象。如果 VPN 使用与 RDP 主机集成到同一身份验证系统中的简单密码身份验证，那么您实际上根本没有太大变化。 (7认同)
我很惊讶人们会在没有什么好处的情况下将一种远程访问服务包装在另一种服务中。VPN 可以像其他任何东西一样被强制使用。根据 RDP 尝试锁定帐户是愚蠢的。而是在 24 小时内从任何给定 IP 设置 150 个不正确的密码来阻止该 IP。如果这是一个如此大的问题，请不要使用密码。 (7认同)
@Eduardo - 正确的做法是使用 VPN。那仍然可以为您提供所需的访问权限。如果您坚持允许 RDP 访问您的服务器，则风险自负。没有流行的工具或方法来限制这些攻击。好的系统管理员只会阻止流量。如果你想试一试，也许你可以在这里修改 Evan 的程序 http://serverfault.com/questions/43360/cygwin-sshd-autoblock-failed-logins/43900#43900 来寻找 RDP 连接。我不确定这是否是一种选择，但这可能是您最接近的机会。 (5认同)
@EduardoMolteni：正如 Jason 所说，在防火墙处阻止 RDP 并使用 VPN。 (3认同)
@EduardoMolteni：如果您认为我们“不是好人”或“疯子”，并且如果英语不是您的母语，那么您可能会得到错误的印象，也许这些不是您应该做出的第一个判断？我只是想知道为什么有几个人提到设置 VPN 而你一直说“我需要 RDP 才能访问它”。您仍然可以通过 VPN 连接进行 RDP... (2认同)
@Eduardo Molteni，当我们看到有人提出一个问题，暗示他们试图比喻性地向自己的头部开枪时，系统管理员往往会感到不安。 (2认同)
@Zoredache - 如果端口扫描在 443 上显示响应，那么 99% 是 Web 服务器，但是哪个？如果端口扫描显示 3389 上的响应，那 99% 是 MS RDP 会话端口，我可以很高兴地敲打它，因为我可能会访问内部 AD 目录服务进行身份验证，因为 MS 没有阻止暴力的内置机制- 强制服务。攻击内部 AD 比将攻击限制在 Web 服务器上要好得多，Web 服务器很可能被隔离在 DMZ 中，没有真正的内部访问权限或 AD 知识。 (2认同)
@August，AD 拥有与 OWA 使用的 RDP 相同的帐户锁定工具，人们经常将其公之于众。问题的全部意义在于要求一种工具来限制暴力攻击。IMO VPN 只是因为有这么多不同种类的 VPN 才能做到这一点。 (2认同)
我同意@AlexHolst - VPN 只是不必要地将包装器添加到如果做得正确可以安全的东西上。更改端口，启用帐户锁定（即使在 5 次尝试后临时阻止 5 分钟也可以防止暴力破解）并且只允许 NLA 连接（如果它的 Windows Server 2008+） (2认同)

Answer 2

Tho*_*ini 11

更改端口，几乎所有攻击都会停止。

攻击通常不是专门针对您，而是针对所有 IP。所以他们不会尝试非默认端口，因为它根本不值得；尝试下一个 IP 的机会比尝试下一个端口大几个数量级。

当被狮子猎杀时，你只能跑得最慢的瞪羚才能生存。 (19认同)

Answer 3

Zor*_*che 7

从理论上讲，您可以使用称为入侵防御系统(IPS)的工具来完成此操作。理想情况下，此设备将是 Windows 设备之外的设备。在 Linux iptables 防火墙中构建规则来阻止暴力破解流量非常容易。

在一个单独的问题中，埃文提到他开发了一个脚本，可以根据 OpenSSH 中的故障管理 Windows 防火墙。如果您必须在 Windows 机器上执行此操作，您可以修改他的代码以在此处应用。

归档时间：	14 年，3 月前
查看次数：	31271 次
最近记录：	10 年，11 月前