web-dev-qa-db-ja.com

ターミナルサーバー(Win2008R2)へのブルートフォース攻撃を阻止する方法

私はブルートフォース攻撃を阻止するLinuxツールに慣れているので、Windowsに適したツールを見つけるのに苦労しています。 Terminal ServerでWindows Server 2008 R2を実行しています。RDPを介してログインを繰り返し試行した後、IPをブロックしたいと思います。ヒントはありますか?

23
onik

すでに述べたように、rdpログイン試行を停止するには、ファイアウォールを制御して特定のIPを分離する必要があります。管理ツール->ターミナルサービスマネージャーでいくつかの設定を行うことができますが、この方法で1つのIPを停止することはできません。おそらく、rdpポートをリッスンし、ログオンの失敗を制御するバッチスクリプトを検討する必要があるかもしれません。そのため、同じIPで大量の試行(番号を選択...)があった場合、既知の期間の他の試行はできません。あります。それが可能かどうかはわかりませんが、方法かもしれません...

5
Nicola Boccardi

レート制限のみを行う場合は、これらの試みをEdgeファイアウォールで実際にブロックする必要があります。あなたがそれを読み進める能力がない場合。

Edgeファイアウォールでブロックできず、インターネットのサブセットに対してのみRDPを開く必要がある場合は、組み込みのWindowsファイアウォール機能を使用して、着信接続をロックダウンします。

最後に、本当にインテネット全体に対してRDPを開いている必要がある場合は、変更されたバージョンの my SSH brute force blocker Windows用プログラムgithubリポジトリ にあります。このts_blockスクリプトは、Windows Server 2003、2008、および2008 R2でのブルートフォースターミナルサービスログオンの試行をブロックします。残念ながら、RDPにTLS/SSLセキュリティレイヤーを使用しているときにWindowsによってログに記録されるイベントが変更されたため このスクリプトはますます効果がなくなってきています 。 (Microsoftが認証を試みるホストのIPアドレスを省略することを選択した理由は私を超えています。それはログに記録するのにかなり重要なことだと思われますか?)

25
Evan Anderson

これを正確に行うC#プログラムがあります。サーバー2008 R2で、イベントログにユーザーのIPアドレスが常にリストされるとは限らない問題がありました(新しいリモートデスクトップクライアントから接続した場合)。一部のサービスは、必要な情報のすべてを提供しない独自の資格情報チェックプロバイダーを実装しています。

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

しかし、リモートデスクトップの場合、「リモートデスクトップセッションホストの構成」に入り、RDP-TCP接続を変更して、「ネゴシエート」または「SSL(TLS 1.0)」の代わりに「RDPセキュリティレイヤー」のセキュリティレイヤーを使用することで、 IPアドレス。

これを本当に実行するかどうかは、「RDPセキュリティレイヤーを選択した場合、ネットワークレベル認証を使用できない」という別の問題です。

http://www.windowsecurity.com/articles/logon-types.html が役に立ったと思いました。 EventLogWatcherを使用して "* [System/EventID = 4625 or System/EventID = 4624]"にバインドしたので、ユーザーが本当にパスワードを間違えただけで成功した場合に、悪いカウントをリセットできます。また、私は:: 1、0.0.0.0、127.0.0.1および "-"をホワイトリストに登録しました。 LAN /管理IPをホワイトリストに登録したい場合とそうでない場合があります。

私はForefront TMGを使用しているため、APIを使用してIPのグループに不正なIPアドレスを追加し、SMBルーターの1つへのAPIアクセスを追加するようにシスコに依頼しました(彼らはそうするかもしれないと私に確信した!)

ネイティブのWindowsファイアウォールを使用してブロックする場合は、そのAPI( "netsh advfirewall")を確認してください。

禁止する前にx回の試行を許可し、成功するとカウントがリセットされます。

3
Matthew1471

侵入、または乱雑なログを防止しようとしていますか?侵入を防止しようとする場合、Windowsにはログイン試行をブロックする組み込みの方法があります。[コンピューターの構成]-> [ポリシー]-> [Windowsの設定]-> [セキュリティの設定]->に[アカウントのロックアウトのしきい値]グループポリシー設定があります。アカウントポリシー->アカウントロックアウトポリシー。

攻撃者はAdministratorなどの一般的なユーザー名を使用し、それらを確実にロックアウトします。実際の管理には別のアカウントが必要ですが、これはおそらくいずれにしてもお勧めです。

ファイアウォールレベルで自動的にブロックするには、ファイアウォールルールの自動更新を伴うスクリプト化されたログ読み取りが必要になります。この方法で、IPアドレスに基づいてルールを追加できるはずです。これは基本的にLinuxシステムでiptablesが行うことです。

少し明白かもしれませんが、リモートデスクトップサービスを 非標準ポート で実行することも検討しましたか?これは、侵入を阻止する上で非常に効果的です。

2
Joel E Salas

代わりにGUIベースのソリューションを使用し、実際にさまざまなイベントに対してさまざまなルールのセットを作成する場合も、他のいくつかのソリューションがあります。最も簡単なのはRDPGuard(hxxp://www.rdpguard.com)ですが、企業環境では、攻撃の発信元(国、発信元)や使用されたユーザー名など、より詳細なレポートが必要になる可能性があります。それが自分のユーザーの1人が誤って自分をブロックしているのか、そうでないことがわかっているところからログインしようとしているのかを判断します。

個人的に私はSyspeace(hxxp://www.syspeace.com)が好きです。これは、これらすべてのことを私たちに代わって行いますが、とにかく両方について言及したいと思いました。

1
Juha Jurvanen

解決策は簡単です。ホワイトリストに登録されたIPアドレスのみが目的のボックスにRDPできるようにWindowsファイアウォールをセットアップします。次のリソースを参照してください。 1つのIPからWindows 2008R2サーバーへのRDPアクセスを許可するにはどうすればよいですか?

0
sean2078

Windows WebサーバーへのRDPブルートフォース攻撃を無料でブロックする方法

https://www.itsmdaily.com/block-rdp-brute-force-attacks-windows-webserver-free/

メモリの問題!!!!!!: https://gitlab.com/devnulli/EvlWatcher/issues/2

fail2ban、Windows向け

https://github.com/glasnt/wail2ban

0
user956584

外部から2012r2 RDSサーバーにブルートフォース攻撃があり、ソースIP情報を直接収集できませんでした。これはTLS/SSLを使用しているため、ファイアウォールでさえ情報の収集に苦労していました。チャンピオンのように機能し、非常に手頃な価格のこの製品に出くわしました。 RDPGuardは、完全に機能する30日間の無料トライアルを提供します。それを実行して、実際に何が起こっているかを確認してください。

0
jesse lyon