Запретить IP-адрес при неудачной авторизации на сервере 2003
Я регулярно подвергаюсь атакам грубой силы на моем Windows Server 2003 с установленной Citrix. Как я могу автоматически заблокировать IP-адреса, которые имеют несколько неудачных попыток входа?
На этот вопрос уже есть несколько ответов, которые работают в Windows 2008 и которые я успешно использую в своей сети (код @MichaelKhalili). Я также нашел sshd_block здесь, он также применим к Windows 2003, но ориентирован на ssh. К сожалению, у меня нет опыта, чтобы адаптировать его для попыток входа на сервер терминалов.
Спасибо за вашу помощь.
1 ответ
У меня нет точного точного ответа, но я не хотел оставлять его в качестве комментария.
Вам придется периодически сканировать журнал событий и блокировать IP-адреса на лету для Windows Server 2003. Я не вижу простого способа сделать это без запуска события, как в Windows 2008+. Если у вас есть Windows Server 2008 AD box, вы можете использовать это, чтобы перехватить неверную попытку входа в домен и выполнить сценарий, который запрещает соединение с этого IP. Но вам, возможно, придется разблокировать этот IP через определенное время. И сделать эту очистку может быть сложно. Но вы можете сделать это с помощью VBScript или вашего языка сценариев по вашему выбору.
Как насчет запрета всех диапазонов IP-адресов из географических областей за пределами вашей пользовательской базы. Зарубежные страны, например, это хорошее место для начала. Это не решит вашу проблему, но может помочь подавить часть трафика. Некоторые брандмауэры имеют эту встроенную функцию. Наш Sonicwall отлично справляется со своей функцией "Geo-IP". Это далеко от совершенства, но, безусловно, помогает...