каким образом в политике безопасности можно внести ограни4ения на количество коннектов по RDP с одного хоста\другим условиям, по юзеру вносить правила для локальной политики глупо, т.к. многопоточный брут юзера с админправами любым хостом задисейблит этого пользователя для всех и фактически выполнит функции DoS. можно как-то засетапать правила коннектов 4исто для хоста, или хотя бы вайтлист подсетей для разрешения коннекта?
Давайте все же плясать от топологии сети, при пробросе трафика со шлюза на локальную машину логичней будет задействовать сам шлюз для фильтрации, иначе в любом случаи нагрузка будет ложиться на ПО. Так как сама политика блокировки учётных записей не снизит основную нагрузку (это не значит, что ей стоит пренебрегать) логичней в данном случаи будет перебросить ответственность на уровень ниже, "фаерволл". Windows Firewall и IPSec, в обоих случаях присутствует поддержка возможности фильтрации трафика, в том числе и по определённому порту, а так же работа с диапазонами заданных адресов. Изначально проблема в том, что брут идет по причине прослушивания стандартного RDP-порта, так что в рамках хорошего тона для службы стоит сменить стандартный порт, а так же переименовать имя учетной записи администратора, что решает в большинстве случаев суть вопроса.
Microsoft Knoledge Base: 306759 304304 187623 REG ADD /? REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 123 /f netsh firewall help netsh firewall add portopening TCP 3389 "Remote Desktop" enable CUSTOM 6.6.6.6/255.255.255.0 Так же настройка WF доступна через групповые политики (Computer Configuration - Administrative Templates - Network - Network Connections - Windows Firewall).
Любой вменяемый администратор запретит доступ учетной записи administrator(причем заранее переименованной) использовать терминальный доступ.Для этого есть группа с минимальными правами или она так для вида создана.И откуда взяли учетные записи по которым брутят.Политика блокировки учетных записей тоже применяется не плохо,если имеется ввиду Dos ,то откуда происходит утечка учетных записей.
Спанч, я у тебя кога-то спрашивал и ты говорил, что это можно реализовать сертификатами. Я же никогда рдпхи на шлюзе не открываю, только после впна. а впн брутить... удачки...
Можно и с помощью сертификатов реализовать аунтефикацию.Подробней тут: http://www.petri.co.il/securing_rdp_communications.htm http://technet.microsoft.com/en-us/library/cc782610(WS.10).aspx http://articles.techrepublic.com.com/5100-10878_11-6166676.html
Иногда нельзя порты сменить по всякого рода причинам. Тогда можно включить баннер. Отбивает глупые брутфорсеры. Можно добавить в этот event listener что-нибудь типа route add attacker_ip mask 255.255.255.255 not_existing_ip_in_your_network. PHP: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate, (Security)}!\\" & _ strComputer & "\root\cimv2") Set colMonitoredEvents = objWMIService.ExecNotificationQuery _ ("Select * from __instancecreationevent where " _ & "TargetInstance isa 'Win32_NTLogEvent' " _ & "and TargetInstance.EventCode = '529' ") Do Set objLatestEvent = colMonitoredEvents.NextEvent strAlertToSend = objLatestEvent.TargetInstance.User _ & " Event 529." Wscript.Echo strAlertToSend Loop
