ログインに何度も失敗した後、IPアドレスを自動的にブロックする

10

Windows 2008サーバーで多くの失敗したログイン試行(1秒あたり1回)を受信して​​います。ログイン試行回数が多すぎると、アカウントを自動的にロックするようにローカルセキュリティポリシーをすでに設定していますが、IPアドレスを自動的に含める方法はありますか? Windowsファイアウォールが一時的に(たとえば30分間)ブロックされるようにしますか?

windows  firewall 
アリー
ソース
1
間違った視点からこの問題に取り組んでいます。ログオン試行が頻繁に失敗する場合は、ソース(セキュリティログで利用可能)を見つけて修正する必要があります。サーバーにログオン試行が殺到しているために一時的にIPをブロックしても、一時的に問題がマスクされるだけです。
Chris McKeown 2013年
@ChrisMcKeownコメントの「ソース」であなたが示唆していることはフォローしません。サーバー上で開いているサービスなどですか?私はこの質問を非常に有効であると考えており、Unixマシンでは繰り返し犯している人も常にブロックしています。
mikebabcock 2013年
失敗したログオンの試行は、ユーザー、サービス、または特定のユーザーとして実行されている実行可能ファイルのいずれかである必要があります。ソース(つまり、ログオンを試みているリモートマシン)がセキュリティログに記録されます。1秒あたり1回の割合で失敗した試みは、ソースをしばらくブロックするだけでなく、さらなる調査を必要とするものです(それによって何が達成されますか)
Chris McKeown
1
上記に答えるために、私のイベントログには、世界中のさまざまなIPアドレスが表示されます。それらのいくつかを手動でファイアウォールのブロックリストに追加し始めましたが、自動化された方法でもかまいません。有効なIPが除外されないように、範囲を除外したくありません。しばらくしてブロックを解除する唯一の理由は、他の有効なユーザーが再びアクセスできるゲートウェイを除外する可能性があるためです。私はハッキングの試みを阻止したいだけです。
Allie

回答:

0

これが「内部」の問題である場合は、上記のアドバイスに従って、本質的に力ずくで問題を解決しようとしているユーザー/デバイス/サービスを見つけることをお勧めします。これが外部からのリモートログインである場合、IPを数時間または数日間「禁止」して攻撃を完了できないさまざまなプログラム/スクリプトがいくつかあります。それらのスクリプトの1つは、ここのメンバーによって書かれています。

ターミナルサーバー(Win2008R2)に対するブルートフォース攻撃を阻止する方法

user72593
ソース
世界中から失敗したログインイベントを受け取っているため、問題はグローバルです。あなたは私のために働くことができる解決策を私に提供しています。よく見てみます。
Allie
0

これらの外部ログオンの試行は、そもそもどのようにサーバーに到達できるのですか?サーバーは認証が有効になっているWebサイトを実行していますか?このサーバーから外部に公開する必要がある、実行中のサービスは何ですか?それがリモートデスクトップの場合、個人的には代わりにVPNの使用を検討します。

クリス・マッケオン
ソース
あなたは良い点を持っています。これは、認証が不要なパブリックWebサーバーですが、リモートデスクトップサービスを使用してサーバーを管理できます。リモートデスクトップにVPN経由でのみアクセスできるようにしてください。これで問題が解決します。(これを行う方法を見つける必要があります:))
Allie
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.