Додатковий захист термінального сервера під Windows 2008 або блокуємо кул-хацкерів

  • сервера

При відкритті термінального сервера "назовні" неминуче настане час, коли ви виявите в логах системи велику кількість спроб підбору логіну і пароля, які, при великому потоці даних, можуть банально заDDOSити сервер до повної неможливості роботи користувачів. Так, є і VPN, і автентифікація на рівні мережі, і зміна номера порту на роутері і т.д, але однаково проходять і атаки йдуть. Так ускладнимо їм роботу :)

Потрібно :

  • Windows 2008+
  • Скрипт
  • База даних (Access файл або MS SQL)
  • Налаштований брендмауер Windows (навіть якщо сервер у вас за зовнішнім файрволом)

термінального

У 2008+ сервері з'явилася можливість виконати завдання при настанні певної події, тому скористаєтеся цим.

сервера

Створимо нове завдання щодо події аудиту відмови входу в систему, яка запускатиме VBS скрипт.

термінального

Після створення завдання потрібно відкрити її властивості та поставити галку "Виконувати з найвищими правами".

У планувальнику завдань знаходимо створене завдання, натискаємо на ній правою кнопкою і вибираємо пункт "Експортувати". Зберігається файл у форматі XML.

Зберегли? Тепер відкриємо файл у Блокноті та допишемо наступні блоки, виділені жовтим кольором. Увага, верстка трохи їде, якщо що див. рис 7.

Зберігаємо файл, видаляємо старе завдання і там імпортуємо нову з скоригованого способу. Таким ось вигадливим способом можна розпарсувати дані в XML файлі події і передати їх як параметри в потрібний нам скрипт.

Власне скрипт.

Скриптпрацює з базою (у прикладі з MS SQL), тому база має бути, як і користувач, з яким здійснюється підключення.

захист

Підсумок роботи.

Потираємо руки і дивимося, як з'являються нові записи при спробах брутфорсу:

термінального

Оновлення

Список логінів, що часто підбираються, зафіксованих цим скриптом за 2 місяці