web-dev-qa-db-ja.com

Server2003でのログインに失敗した場合のIPアドレスの禁止

CitrixがインストールされているWindowsServer 2003に対して、定期的にブルートフォース攻撃を受けています。ログインに何度か失敗したIPアドレスを自動的に禁止するにはどうすればよいですか?

この質問にはすでにいくつかの回答があります Windows 2008で動作し、ネットワークで正常に使用されています(@MichaelKhaliliのコード)。また、 sshd_block ここで、Windows 2003にも適用されますが、sshを対象としています。残念ながら、ターミナルサーバーで試行されたログインに適応させる専門知識がありません。

ご協力いただきありがとうございます。

3
Lorenz Meyer

正確な答えはわかりませんが、コメントとして残したくありませんでした。

Windows Server 2003では、イベントログを定期的にスキャンし、その場でIPを禁止する必要があります。Windows2008+のように、イベントトリガータスクがないと、これを行う簡単な方法がわかりません。 Windows Server 2008 ADボックスがある場合は、それを使用してドメインへの無効なログイン試行をキャプチャし、そのIPからの接続を防ぐスクリプトを実行できます。ただし、一定の時間が経過すると、そのIPの禁止を解除する必要がある場合があります。そして、そのクリーンアップを行うことは複雑になる可能性があります。ただし、これはVBScriptまたは選択したスクリプト言語を使用して行うことができます。

ユーザーベース外の地理的領域からすべてのIP範囲を禁止するのはどうですか。たとえば、外国は出発点として適しています。それはあなたの問題を解決しませんが、トラフィックの一部を鎮めるのに役立つかもしれません。一部のファイアウォールにはこの機能が組み込まれています。Sonicwallは「Geo-IP」機能でかなりうまく機能します。それは完璧にはほど遠いですが、確かに役立ちます...

1
MikeAWood