我在 Windows 2008 服务器上收到很多次失败的登录尝试(每秒 1 次),我已经设置了本地安全策略,在过多的登录尝试后自动锁定帐户,但是有没有办法自动在 Windows 防火墙中包含一个 IP 地址,以便暂时阻止它(比如 30 分钟)?
答案1
我们最近收到了大量类似的尝试,并取得了巨大的成功失败2ban它的作用正是:在 N 次登录尝试失败后阻止源 IP。
虽然它是为 Linux 设计的,但 Evan Anderson 对 ServerFault 问题的回答非常好fail2ban 可以用于 Windows 吗?可以帮助您实现它。
答案2
如果这是“内部”问题,那么我建议您遵循上面列出的建议,找到试图强行入侵的用户/设备/服务并解决问题。如果这是来自外部的远程登录,那么有许多不同的程序/脚本会“禁止”某个 IP 数小时或数天,这样他们就无法完成攻击。其中一个脚本是由这里的一名成员编写的。
答案3
这些外部登录尝试首先是如何到达您的服务器的?服务器是否运行启用了身份验证的网站或类似的东西?您正在运行哪些需要从该服务器向外界公开的服务?如果是远程桌面,那么我个人会考虑使用 VPN。