클라이언트 이름 a의 원격 세션이 허용되는 최대 로그온 시도 실패 횟수를 초과했습니다. 세션이 강제 종료되었습니다.
서버 중 하나가 사전 공격을 받고 있습니다. 표준 보안이 모두 갖추어져 있지만 (관리자 이름 변경 등) 공격을 제한하거나 금지 할 수있는 방법이 있는지 알고 싶습니다.
편집 : 서버가 원격입니다. 내가 필요 액세스 그것에 RDP를.
답변:
방화벽에서 RDP를 차단하십시오. 왜 그렇게 많은 사람들이 이것을 허용하는지 모르겠습니다. 서버에 RDP를 설치해야하는 경우 VPN을 설정하십시오.
포트를 변경하면 사실상 모든 공격이 중지됩니다.
공격은 일반적으로 사용자에게 특정 된 것이 아니라 모든 IP에 대한 것입니다. 따라서 기본 포트가 아닌 포트는 사용하지 않아도됩니다. 다음 IP를 시도하면 다음 포트를 시도하는 것보다 훨씬 더 큰 기회가 있습니다.
이론적으로 IPS ( Intrusion Prevention System) 라는 도구를 사용하여이를 수행 할 수 있습니다 . 이상적으로이 장치는 Windows 상자 외부의 기기입니다. 무차별 대입 트래픽을 차단하기 위해 Linux iptables 방화벽에서 규칙을 작성하는 것은 매우 쉽습니다.
A의 별도의 질문 에반은 그가에서 OpenSSH의 실패를 기반으로 방화벽 윈도우를 관리 할 스크립트를 개발 언급하고있다. Windows 상자 자체 에서이 작업을 수행 해야하는 경우 여기에 적용하기 위해 그의 코드를 조정할 수 있습니다.
서버가 방대한 양의 RDP 시도에 부딪 치는 이유를 생각할 수있는 유일한 방법은 인터넷에서 RDP를 사용할 수 있다는 것입니다. 인터넷에서이 액세스를 비활성화하면 괜찮을 것입니다. 외부에서 서버로 RDP를 수행해야하는 경우 다른 모든 사람과 같은 VPN을 사용하십시오. 이러한 시도가 내부 시도 인 경우 내부 서버를 사전 공격하려고 시도하여 누군가 종료 될 수있는 더 큰 문제가 있습니다.
포트를 기본이 아닌 RDP 포트로 변경할 수 있습니다. 그래도 연결할 수는 있지만 컴퓨터에서 RDP를 찾기가 약간 더 어려워집니다.
WinBan 및 rdp mdule을 사용하여 IP를 금지하십시오 .
