如果我有一个服务器(Windows Server 2008)在互联网上允许远程桌面连接,有没有什么办法阻止随机的人尝试蛮力用户名/密码组合?
例如,在一定数量的故障后,它会locking用户还是IP地址?
(根据意见编辑):
如上所述,RDP通常不应直接暴露在公共互联网上。 通过简单地阻止除VPN以外的端口3389访问,使用RD网关获取更高级的解决scheme,可以通过多种方式来限制这种风险。 如果您有支持IPS的IPS或IDS +防火墙,则可以使用它们阻止重复login失败的主机。
对于内部powershell保护,您可以在本地安全策略中设置locking策略。 帐户locking时间,帐户locking阈值以及重置locking之前需要等待多长时间才能设置。
您可以使用secpol.msc来修改这些设置:secpol.msc – >安全设置 – >帐户策略 – >帐户locking策略。
不要打开端口3389到互联网。 使用远程桌面服务网关(RD网关),并将自己包装在通过HTTPS的SSL保护RDP的温暖模糊的毯子中!
(它可能仍然被称为Server 2008上的TS网关非R2;不记得。)
您可以将RDSangular色添加到Windows Server 2008 R2。 RD网关是RDS的angular色服务。
这给你的是使用常规RDP客户端(版本7+)通过SSL保护的端口443而不是传统的3389端口对RD网关进行“RDP”的能力。通过该网关,可以将RDP无缝地连接到内部位于网关另一端的主机。 您可以使用RD CAP和RD RAP来精确控制谁可以连接到什么。 您为SSL目的使用PKI证书。
这比普通的RDP更安全。 另外它也不像某些攻击最近打击常规RDP,如MS012-020。
你可以在这里find一个非常彻底的教程:
http://www.myotherpcisacloud.com/post/2011/11/23/Remote-Desktop-Services-Tutorial-1-(RD-Gateway).aspx
我注意到这个问题已经被回答,但是你在互联网上有RDP“打开”。 闹铃响起。 你真的需要考虑在SSL VPN前端。