Kaspersky
Question

Как защитить от брутфорса

  • 18 November 2021
  • 2 replies
  • 60 views

Идет перебор паролей на север по rdp ОС Windows 2012 R2.

Порт 3389 открыт для всех.
У всех пользователей динамические адреса.


Последнее время постоянно атакуется сервер по RDP, каждые три секунды идет подбор пароля и учетной записи. В основном этот перебор не сильно мешает, но последнее время, иногда из-за переборов паролей затруднен доступ реальных пользователей на сервер, т.е. происходит что то типа Doss атаки. Приходится перезагружать сервер, что бы реальные пользователи смогли подключится.

Некоторые запросы попадают в RemoteDesktopServices-RdpCoreTS и успешно блокируются по ip, но еще есть много отказов в журнале безопасности, которых нет в RemoteDesktopServices-RdpCoreTS и нет ip по ним и такие не блокируются, как с ними бороться? все порты кроме rdp закрыты, расшаренных ресурсов нет, локальных пк нет, т е атаки из вне.

Прошу помощи/рекомендаций.


2 replies

Userlevel 7
Badge +9

@serg131313, как минимум

  • измените порт RDP (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)
  • включите политику блокировки учетной записи (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политика учетных записей - Политика блокировки учетной записи)

Даже если IP динамические, они же все равно не произвольные. Вы можете открыть только IP диапазоны провайдеров через которых работают ваши пользователи.

А вообще конечно надо поднимать VPN сервер.

Badge

В современных реалиях необходим прокси-сервер с функциями Предотвращения вторжений и с возможностью создания VPN-соединений. Это минимум. Открывать RDP наружу - уже давно не безопасно.

Reply