我正在使用 Windows 2008 R2。
我想知道是否有任何方法可以阻止暴力攻击。
我到处寻找,但在 IP 地址尝试登录几次失败后,我还是找不到阻止它的方法。
也许我忽略了一些显而易见的东西。
应该有一些东西可以监视事件日志中的登录失败事件并阻止罪魁祸首 IP 地址
答案1
如果您想阻止 IP,可以使用防火墙策略来阻止 IP。Windows 将锁定帐户并在帐户安全策略中指定的时间自动解锁。这通常可以防止暴力攻击(如果设置在合理的时间),但在不受监控的服务器上,可能会导致 DOS 攻击。一个简单的解决方案是编写一个脚本来解析帐户锁定日志,并在 N 次锁定后阻止 IP。此脚本可以按照适合您情况的任何间隔运行。IDS 也可以解决此问题。
答案2
在组策略编辑器中,
计算机配置 \ Windows 设置 \ 安全设置 \ 帐户策略 \ 帐户锁定策略
投票决定迁移至旧金山。
答案3
我发现这个关于为什么账户锁定策略不起作用的精彩总结(来自https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks)
账户锁定的问题是:攻击者可以通过锁定大量账户导致拒绝服务(DoS)。
由于您无法锁定不存在的帐户,因此只有有效的帐户名才会被锁定。攻击者可以利用这一事实从网站窃取用户名,具体取决于错误响应。
攻击者可以通过锁定多个账户并向服务台拨打大量支持电话来造成转移。
攻击者可以连续锁定同一个帐户,即使在管理员解锁几秒钟后,也可以有效地禁用该帐户。
帐户锁定对于每小时仅尝试几个密码的慢速攻击无效。
帐户锁定对于尝试使用一个密码攻击大量用户名的攻击无效。
如果攻击者使用用户名/密码组合列表并且在前几次尝试时就猜对了,则帐户锁定是无效的。
管理员等强大账户通常会绕过锁定策略,但这些账户是最容易受到攻击的账户。某些系统仅在基于网络的登录时锁定管理员账户。
即使您锁定了帐户,攻击仍可能继续,从而消耗宝贵的人力和计算机资源。
有一些软件可以帮到你。一些脚本需要修改,至少两个带有 GUI,分别是 Syspeace 和 RDP Guard