Cấm, làm chậm hoặc dừng các nỗ lực đăng nhập lớn vào RDP

23

Phiên từ xa từ tên máy khách vượt quá số lần đăng nhập thất bại tối đa được phép. Phiên họp đã bị chấm dứt.

Một trong những máy chủ đang bị tấn công từ điển. Tôi có tất cả các bảo mật tiêu chuẩn (được đổi tên thành Quản trị viên, v.v.) nhưng muốn biết có cách nào để hạn chế hoặc cấm tấn công.

Chỉnh sửa : Máy chủ chỉ từ xa. Tôi cần RDP để truy cập nó.

windows-server-2008-r2 
Eduardo Molteni
nguồn
Câu hỏi được bảo vệ vì nó khá phổ biến và thu thập một vài câu trả lời chất lượng thấp.
Rob Moir

Câu trả lời:

29

Chặn RDP tại tường lửa. Tôi không biết tại sao rất nhiều người cho phép điều này. Nếu bạn cần RDP đến máy chủ của mình, hãy thiết lập VPN.

Jason Berg
nguồn
3
@EduardoMolteni: Như Jason tuyên bố, chặn RDP tại tường lửa và sử dụng VPN.
GregD
5
@Eduardo - Điều chính xác cần làm là VPN. Điều đó vẫn sẽ cung cấp cho bạn quyền truy cập mà bạn cần. Nếu bạn khăng khăng cho phép RDP truy cập vào máy chủ của mình, bạn sẽ tự chịu rủi ro. Không có công cụ hay phương pháp phổ biến nào ngoài kia để hạn chế các cuộc tấn công này. Sysadins tốt chỉ cần chặn lưu lượng. Nếu bạn muốn thử, có lẽ bạn có thể sửa đổi chương trình của Evan tại đây serverfault.com/questions/43360/ mẹo để tìm kiếm các kết nối RDP. Tôi không chắc đó có phải là một lựa chọn hay không nhưng có lẽ đó là cơ hội gần nhất của bạn.
Jason Berg
2
@EduardoMolteni: Bạn đã có ấn tượng sai nếu bạn nghĩ chúng tôi "không phải là người tốt" hay "điên" và nếu tiếng Anh không phải là ngôn ngữ đầu tiên của bạn, có lẽ đó không phải là những phán đoán đầu tiên bạn nên đưa ra? Tôi chỉ đơn giản là tự hỏi tại sao một số người đã đề cập đến việc thiết lập VPN và bạn cứ nói, "Tôi cần RDP để truy cập nó". Bạn vẫn có thể RDP thông qua kết nối VPN ...
GregD
7
Không chắc chắn lý do tại sao bạn cực kỳ chống lại việc cho phép RDP. Mã hóa không tệ, giống như https. Bằng cách thiết lập VPN, tất cả những gì bạn đang làm là thay đổi đối tượng, kẻ tấn công sẽ cần phải vũ trang. Nếu VPN sử dụng xác thực mật khẩu đơn giản được tích hợp vào cùng hệ thống xác thực với máy chủ RDP, thì bạn thực sự đã không thay đổi nhiều.
Zoredache
7
Tôi ngạc nhiên rằng mọi người sẽ bọc một dịch vụ truy cập từ xa vào một dịch vụ khác khi có rất ít lợi ích. VPN có thể bị ép buộc như bất cứ điều gì khác. Khóa tài khoản dựa trên các nỗ lực RDP chỉ là ngớ ngẩn. Thay vào đó, hãy thiết lập 150 mật khẩu không chính xác từ bất kỳ IP cụ thể nào trong vòng 24 giờ chặn IP đó. Nếu đây là một vấn đề lớn như vậy, đừng sử dụng mật khẩu.
Alex Holst
11

Thay đổi cổng và hầu như tất cả các cuộc tấn công sẽ dừng lại.

Tấn công thường không được hướng đến bạn một cách cụ thể mà là tất cả các IP. Vì vậy, họ sẽ không thử các cổng không mặc định vì đơn giản là nó không xứng đáng; thử IP tiếp theo có cơ hội lớn hơn so với thử cổng tiếp theo.

Thomas Bonini
nguồn
19
Khi bị sư tử săn đuổi, bạn chỉ phải vượt qua con linh dương chậm nhất để sống sót.
IslandCow
Hướng dẫn về cách thực hiện có thể được tìm thấy tại support.microsoft.com/kb/306759
mailq
7

Về mặt lý thuyết bạn sẽ thực hiện điều này bằng cách sử dụng một công cụ gọi là hệ thống ngăn chặn xâm nhập (IPS). Lý tưởng nhất là thiết bị này sẽ là một thiết bị bên ngoài hộp Windows của bạn. Xây dựng quy tắc trong tường lửa iptables Linux để chặn lưu lượng truy cập vũ phu là khá dễ dàng.

Trong một câu hỏi riêng biệt Evan đề cập, ông đã phát triển một tập lệnh sẽ quản lý tường lửa Windows dựa trên các lỗi trong OpenSSH. Bạn có thể điều chỉnh mã của anh ấy để áp dụng ở đây, nếu bạn phải làm điều này trên chính hộp Windows.

Zoredache
nguồn
4

Điều duy nhất tôi có thể nghĩ về lý do tại sao máy chủ của bạn bị tấn công với số lượng lớn các nỗ lực RDP là bạn có thể RDP cho nó từ internet. Vô hiệu hóa truy cập này từ internet và bạn sẽ ổn. Sử dụng VPN như mọi người khác nếu bạn cần RDP đến máy chủ từ bên ngoài. Nếu đây là những nỗ lực nội bộ, thì bạn có một vấn đề lớn hơn có thể liên quan đến việc ai đó bị chấm dứt vì cố gắng từ điển tấn công máy chủ nội bộ ...

tháng Tám
nguồn
hoặc có phần mềm độc hại trên mạng.
gravyface
Tôi cần có khả năng RDP từ internet. Chỉ muốn giới hạn để bạn không thể cố gắng đăng nhập nhiều lần trong một giây
Eduardo Molteni
1
@Eduardo - Nó đã được nói hai lần. Đặt một cái gì đó ở giữa Internet và máy chủ này. Có thể là VPN, đường hầm SSH, TS Gateway, v.v. Địa ngục, nếu bạn lo ngại đây là một cuộc tấn công tự động do quét cổng, hãy chuyển cổng RDP sang một cái gì đó ít rõ ràng hơn.
Aaron Copley
2
@EduardoMolteni: Với VPN, bạn vẫn có thể RDP từ internet. Tại sao bạn tiếp tục làm bóng trên phần VPN?
GregD
@Aaron: Đừng nổi giận. Chỉ cần học các tùy chọn ở đây.
Eduardo Molteni
4

Nếu bạn biết địa chỉ IP của các PC cần RDP đến máy chủ này qua internet, hãy định cấu hình bộ định tuyến / tường lửa của bạn để chỉ cho phép lưu lượng RDP từ các IP hoặc dải IP đó. Nếu các PC đến nằm trên DHCP từ ISP của họ, việc đưa (các) dải IP của ISP vào tường lửa của bạn ít nhất sẽ chặn hầu hết các lần thử đăng nhập ngẫu nhiên.

KJ-SRS
nguồn
2

Bạn có thể thay đổi cổng thành cổng không mặc địnhRDP. Điều này vẫn sẽ cho phép bạn kết nối nhưng làm cho người khác khó tìm thấy RDP hơn trên máy của bạn.

http://support.microsoft.com/kb/306759

Darryl Braaten
nguồn
Tôi có thiết lập RDP trên mạng gia đình của mình ... nhưng tôi đã thay đổi nó tại bộ định tuyến thành một cổng không chuẩn. sẽ đề nghị ít nhất là thay đổi các cổng, vì tôi nghĩ rằng điều đó sẽ cản trở tất cả trừ những vụ hack hoàn toàn chuyên dụng nhất.
WernerCD
1

Chúng tôi sử dụng gỡ rối để bảo vệ mạng của chúng tôi và kết nối một vài địa điểm từ xa. Thiết lập đơn giản trên PC, cài đặt nhanh và cấu hình, đầy đủ các tùy chọn tường lửa, đi kèm với máy chủ OpenVPN.

Bộ định tuyến gỡ rối

nhập mô tả hình ảnh ở đây

tích hợp
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.