ログインに何度も失敗した後、IPアドレスを自動的にブロックする
Windows 2008サーバーで多くの失敗したログイン試行(1秒あたり1回)を受信しています。ログイン試行回数が多すぎると、アカウントを自動的にロックするようにローカルセキュリティポリシーをすでに設定していますが、IPアドレスを自動的に含める方法があります。 Windowsファイアウォールが一時的に(たとえば30分間)ブロックされるようにしますか?
最近、同様の試みが殺到し、 fail2ban で大成功しました。Nが失敗した後、ソースIPをブロックします。ログイン試行。
Linux用に設計されていますが、ServerFaultの質問に対するEvan Andersonのすばらしい回答 failsban do Windows? は、実装に役立つ場合がありますそれ。
これらの外部ログオンの試行は、そもそもどのようにサーバーに到達できるのですか?サーバーは認証が有効になっているWebサイトを実行していますか?このサーバーから外部に公開する必要がある、実行中のサービスは何ですか?リモートデスクトップの場合は、個人的には代わりにVPNを使用することを検討します。
これが「内部」の問題である場合は、上記のアドバイスに従って、本質的に力ずくで問題を解決しようとしているユーザー/デバイス/サービスを見つけることをお勧めします。これが外部からのリモートログインである場合、IPを数時間または数日間「禁止」して攻撃を完了できないさまざまなプログラム/スクリプトがいくつかあります。それらのスクリプトの1つは、ここのメンバーによって書かれています。