多次尝试登录失败后自动阻止IP地址

11

我在Windows 2008服务器上收到很多失败的登录尝试（每秒1次），我已经将本地安全策略设置为在尝试过多登录后自动锁定帐户，但是有一种方法可以在其中自动包含IP地址Windows防火墙，以便将其暂时阻止（例如30分钟）？

windows firewall

— 艾莉
source

1

您从错误的角度来解决此问题。如果登录尝试失败，则需要查找源（在安全日志中可用）并进行修复。暂时阻止IP，因为它会使登录尝试泛滥到服务器中，只会暂时掩盖问题。

— 克里斯·麦基翁

@ChrisMcKeown我没有在您的评论中按照“来源”来暗示您的意思。您是说服务器上或其他设备上打开的服务吗？我认为这个问题非常有效，并且在Unix机器上，我一直都在阻止反复犯规的人。

— mikebabcock

失败的登录尝试必须来自某个地方，无论是用户还是以特定用户身份运行的服务或可执行文件。源（即尝试登录的远程计算机）将记录在安全日志中。以每秒一秒钟的速度失败的尝试可能值得进一步研究，而不是简单地阻塞源一小会儿（这能达到什么目的？）

— 克里斯·麦基翁

1

为了回答以上问题，我的事件日志显示了来自世界各地的许多不同IP地址。我开始将其中一些手动添加到防火墙的阻止列表中，但是欢迎采用自动方式。我不想排除范围，以防止排除有效IP。一段时间后取消阻止的唯一原因是，我可能会排除可能再次拥有其他有效用户的网关。我只想阻止任何黑客尝试。

— 艾莉

2

最近，我们进行了类似的尝试，并且使用fail2ban取得了巨大的成功，fail2ban的确做到了这一点：在N次失败的登录尝试后阻止源IP。

虽然它是为Linux设计的，但Evan Anderson很好地回答了ServerFault问题fail2ban是否可以用于Windows？可能会帮助您实现它。

— 桑福德
source

0

如果这是一个“内部”问题，那么我建议您遵循上面列出的建议，并找到实际上试图强行闯入并解决问题的用户/设备/服务。如果这是从外部进行的远程登录，则有许多不同的程序/脚本会在数小时或数天内“禁止” IP，因此它们无法完成攻击。这些脚本之一是由成员在此处编写的。

— 用户名
source

这个问题是全球性的，因为我收到了来自世界各地的失败登录事件。您正在为我提供可能对我有用的解决方案。我会更好看的。

— 艾莉

0

这些外部登录尝试首先如何到达您的服务器？服务器运行的网站是否启用了身份验证或类似功能？您正在运行哪些服务，需要从此服务器向外界公开？如果是远程桌面，那么我个人会考虑使用VPN。

— 克里斯·麦考恩
source

你有一个好点。这是一台服务器，是一台公共Web服务器，不需要任何身份验证，但是可以使用远程桌面服务进行管理。我认为您是对的，只能通过VPN访问远程桌面，这将结束我的问题..（现在我需要找到一种方法来做到这一点:)）

— Allie