Попытка Входа в Систему Неудачна • Rdp защищаемся от взлома
В этой оснастке выбираем открываем в «свойствах» RDP-Tcp вкладку [Network Adapter], где и ограничиваем «Msximum Connections» до 2х, для всех сетевых адаптеров. И старый сервер, в течении некоторого времени был мне доступен, но на нем можно было без опасений попробовать провести опасные и не очень эксперименты. а я не сижу уткнувшись в монитор целый день, но раз в день захожу проверить работоспособность своих приложений Так все и осталось.
Запретить IP-адрес на основании количества неудачных попыток входа в систему?
Можно ли забанить IP-адрес после Х числа неудачных попыток входа на Windows Server? Не для конкретного аккаунта, который я умею делать, а для всей машины.
Мы очень сильно пострадали от атак грубой силы, пытаясь угадать имена пользователей, так что это действительно помогло бы получить некоторую нагрузку на сервер.
* nix имеет fial2ban . не уверен, что есть эквивалент Windows / порт. fail2ban.org/wiki/index.php/Main_Page
Возможно, вы захотите взглянуть на serverfault.com/questions/216995/… для предыдущего обсуждения того, насколько полезен автоматизированный бан на основе IP.
Если вы говорите о службах терминалов / удаленном рабочем столе, посмотрите здесь: serverfault.com/a/335976/7200
Создайте задачу в планировщике и установите триггер на событие 4625 (вход в Windows, включая службы терминалов). Но вы можете установить запуск триггера, например, два раза в час, чтобы избежать ненужной загрузки сервера.
и после триггера запустить скрипт powershell. Вы также должны установить более высокие привилегии для запуска этого скрипта, иначе он завершится с ошибкой безопасности.
Вы также можете привязать этот скрипт к другим событиям безопасности.
Отличный скрипт @remunda — спасибо! Я также получил 4625 с FTP-сервера, для которого в журнале безопасности нет IP-адресов, поэтому я расширил ваш скрипт, чтобы он также проверял журнал FTP текущего дня. Пожалуйста, смотрите мой ответ ниже для получения дополнительной информации: serverfault.com/a/571903/107701
Есть много ошибок и крайних случаев с журналами событий, регистрацией IP-адресов и т. Д., Которые я обработал в IPBan — бесплатно и с открытым исходным кодом на github.com/jjxtra/Windows-IP-Ban-Service
Я знаю, что этот сценарий, вероятно, неэффективен, но когда я начал работать над этим, у меня не было абсолютно никакого опыта в PowerShell, поэтому моя способность оптимизировать сценарии оставляет желать лучшего. Однако, несмотря на этот факт, я подумал, что поделюсь этим с любым, кто мог бы его использовать.
Я благодарю Ремунду за то, что она дала мне первоначальную идею, что именно этот плакат заставил меня задуматься об использовании PowerShell для поиска в журналах событий.
Этот скрипт основан на ответе remunda и идет немного дальше https://serverfault.com/a/397637/155102 Он учитывает правило «BlockAttackers», для которого еще не введены IP-адреса (который возвращает «*» в виде строки). Он также записывает комментарий в файл журнала, чтобы сообщить, когда IP-адрес был добавлен в правило.
Как правило, не стоит позволять кому-то еще контролировать ваши правила брандмауэра. Это в основном то, что вы просите здесь.

Включаем аудит входа в учётную запись пользователя Windows.
Ранее мы пробовали отредактировать профиль реестра, убрав в названии .bak и изменив значения для ключей RefCount и State. Причина такого поведения заключается в том, что диалоговое окно не является активным окном и не получает никаких данных при нажатии клавиши Enter. Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш Win X и выбрав из меню пункт Просмотр событий.
Причина
Повреждение профиля, ошибка в службе профилей ProfSvc или неудачная попытка загрузки. Последнее может привести к изменению реестра, что делает ошибку перманентной.
1. Перезагрузка
Если ошибка возникла впервые, просто перезагружаем компьютер — этого может оказаться достаточно.
2. Редактирование профиля в реестре
Необходимо сначала запустить реестр Windows. Есть несколько вариантов это сделать:
Проходим по всем разделам — находим тот, который начинается на S-1-5-* и заканчивается на .bak:
* необходимо удостовериться, что мы выбрали нужного пользователя с помощью ключа ProfileImagePath, которые указывает на путь к его профилю.
Обращаем внимание, что рядом есть раздел с таким же названием, но без bak на конце — кликаем по нему правой кнопкой мыши и переименовываем, добавив к названию .bak2:
А у другого раздела убираем .bak на конце:
Кликаем по разделу без bak и в правой части находим ключи RefCount и State — если они есть, меняем их значения на 0:
Перезагружаем компьютер и пытаемся войти в систему под нужным профилем.
3. Копирование папки Default
Проблема может возникать при повреждении файлов в каталоге Default (в старых версия системы Default user), который находимся в папке с профилями — как правило, C:\Users. Данный каталог является скрытым — чтобы его увидеть, в проводнике переходим на вкладку Вид и ставим галочку Скрытые элементы:
* в старых версиях переходим в меню Сервис — Свойства папки — вкладка Вид — ставим галочку Показывать скрытые файлы и папки.
Чтобы решить проблему, необходимо скопировать содержимое папки Default с рабочего компьютера и вставить его с заменой в каталог на нерабочем.
4. Восстановление системы
Проще всего, попробовать восстановить систему по точке восстановления. Для этого запускаем восстановление Windows с установочного диска.
После этого выбираем пункт Восстановление системы и раннюю точку восстановления. Ждем завершения процесса восстановления и перезагружаем компьютер.
5. Предоставление прав администратора
Если пользователь не имеет прав администратора, ему может не хватать привилегий для создания необходимых папок профиля. Как правило, это связано с нарушением в работе операционной системы, поскольку у пользователя должны быть полные права на свой профиль. Сбой может возникнуть в результате неправильной настройки прав или действий вируса.
Для решения проблемы, заходим под другим пользователем и меняем тип учетной записи на «Администратор». Если пользователь доменный, то добавляем его в локальную группу «Администраторы».
Если данные действия помогут войти в систему, пробуем вернуть права обычного пользователя.
