我在 Windows Server 2008 机器上运行带有 SSH 守护进程的 Cygwin。我在查看事件查看器时注意到,在过去一周左右的时间里,来自不同 IP 的每秒多达 5 到 6 次失败的登录尝试(蛮力)。
如何自动阻止这些 IP,而不是手动一个一个地阻止它们?
谢谢,艾哈迈德
我正在寻找使远程桌面更安全的解决方案。我正在寻找像 windows 和 RDP 这样的 fail2ban,它会在 N 次重试失败后阻止防火墙中的 IP 有什么帮助吗?
我在中国有一个愚蠢的人(根据 IP-Reversal 网站),他试图使用 RDP 登录我的机器。当我发现与此类似的消息流时,我第一次注意到了这一点:
[LAN access from remote] from 117.66.240.198:65086 to 192.168.1.20:3389 Thursday, November 16,2017 10:20:17
[LAN access from remote] from 117.66.240.198:56522 to 192.168.1.20:3389 Thursday, November 16,2017 10:19:00
无论如何,我并不担心,因为他每分钟都在尝试登录管理员帐户。我已将其禁用并按原样锁定。
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: ADMINISTRATOR
Source Workstation:
Error Code: 0xC000006A
我知道我可以将 RDP 的端口更改为 3389 以外的其他端口,但我需要坚持使用此端口,因为我的办公室只允许 RDP 为默认端口。
我也知道我可以设置 VPN,但对于我的情况来说,这可能是一种矫枉过正。
我将 Windows 防火墙更改为仅允许来自一系列 IP 的 RDP 连接,但由于我的办公室使用不同的 ISP,并且 IP 在任何时候都可能与下次网络重新启动后不同。
我希望看到他试图用来蛮力闯入的密码。
无论如何,我(使用默认的 Windows 策略)是否可以限制/禁止发送无效凭据的 IP 一段时间?
另外,由于我有一个动态 IP,所以我做的第一件事就是重新启动我的路由器并获得一个新 IP,但显然这个习惯太强了,因为另一个愚蠢的家伙开始尝试运气的时间不超过一天一系列新的 IP …