如果我在互联网上有一个允许远程桌面连接的服务器(Windows Server 2008),有什么可以阻止随机的人尝试暴力破解用户名/密码组合?
例如,在一定次数的故障之后它会锁定用户或 IP 地址吗?
答案1
(根据评论编辑):
如上所述,RDP 通常不应直接暴露在公共互联网上。限制这种暴露可以通过多种方式实现,从简单地阻止除 VPN 之外的端口 3389 访问,到使用 RD 网关(更高级的解决方案)。如果您有支持它的 IPS 或 IDS+防火墙,您可以使用它们来阻止反复登录失败的主机。
对于内部暴力破解保护,您可以在本地安全策略中设置锁定策略。可以设置帐户锁定时长、帐户锁定阈值以及重置锁定前等待的时间。
您可以使用 secpol.msc 修改这些设置:secpol.msc -> 安全设置 -> 帐户策略 -> 帐户锁定策略。
答案2
不要向互联网开放端口 3389。使用远程桌面服务网关 (RD 网关),让自己沉浸在通过 HTTPS 进行 SSL 保护的 RDP 的温暖氛围中!
(在 Server 2008 非 R2 上它可能仍被称为 TS 网关;不记得了。)
Windows Server 2008 R2可以添加RDS角色,RD网关是RDS的一个角色服务。
这样,您就可以使用常规 RDP 客户端(版本 7 及以上)通过 SSL 保护的端口 443(而不是传统的端口 3389)“RDP”到 RD 网关。通过该网关,您可以无缝地通过 RDP 连接到网关另一侧的内部主机。您可以使用 RD CAP 和 RD RAP 来精确控制谁可以连接到什么。您可以使用 PKI 证书来实现 SSL 目的。
这比常规 RDP 安全得多。而且它不易受到最近影响常规 RDP 的某些漏洞攻击,例如 MS012-020。
您可以在这里找到非常详尽的教程:
答案3
我注意到这个问题已经得到解答,但你们在互联网上“开放”了 RDP。警钟开始响起。你真的需要考虑使用 SSL VPN 作为前端。
答案4
我也有同样的需求,并且发现埃夫尔观察者对我来说是最好的解决方案。有很多脚本可以手动实现,而 EvlWatcher 则省去了开箱即用的解决方案的麻烦。它是开源的,配置文件可以自定义。