我想禁止在Windows Server 2008 R2计算机上的不正确的(RDP,现在即将成为VPN,一旦我开始)login尝试,我帮助pipe理。
这个答案具体谈到了ssh,我没有运行。
这个答案提到terminal服务和远程桌面。
没有人专门提到VPN。
这两个都适用于VPN? 我对Windows如何处理这些不同的失败login有点不确定。 它看起来像这些将logintypes:10(RDP)和logintypes3(VPN +terminal服务…?)从我所了解的这些工具是他们将不得不parsingWindows事件日志抓不正确login,然后修改防火墙规则。
我想尝试WinFail2Ban,因为我以前在Linux中使用它。 pipe理Linux(只是SSH!)是方式更容易。 有人对此有经验吗? 它会起作用吗? 我发现服务器上的WinFail2Ban ZERO问题。
非常感谢你的帮助。 我会简单地开始尝试,可能从WinFail2Ban开始。 由于我在Windows Server 2008非常新,我想先在这里发表一个问题。
我有一个C#程序,正是这个。 我在Server 2008 R2上遇到了一个问题,事件日志并不总是列出用户的IP地址(如果它们是从较新的远程桌面客户端连接的)。 有些服务实现自己的凭证检查提供程序,不提供所有您想要的信息。
然而,对于远程桌面,我发现进入“远程桌面会话主机configuration”并更改RDP-TCP连接以使“RDP安全层”而不是“协商”或“SSL(TLS 1.0)”的安全层带回IP地址。
您是否真的想要这样做是另一个问题,如果您selectRDP安全层,则不能使用networking级身份validation。
VPN应该在安全日志中生成类似的事件(我发现http://www.windowsecurity.com/articles/logon-types.html是有帮助的)。 我用EventLogWatcher绑定到“* [System / EventID = 4625或System / EventID = 4624]”,所以如果用户真的只是弄错了密码, 此外,我列入白名单:: 1,0.0.0.0,127.0.0.1和“ – ”。
我使用了Forefront TMG,所以我使用这个API将这些不良IP地址添加到一组IP地址中,并且我已经要求Cisco为他们的一个SMB路由器添加API访问权限(他们已经向我保证,他们可能会这么做)!
如果您想使用本地Windows防火墙阻止他们看看那个API(“netsh advfirewall”)。