1124 подписчика

Открытый в интернет RDP порт 3389 на Windows хосте как магнит притягивает автоматических ботов, которые будут пытаться подобрать пароль для входа, или эксплуатировать одну из известных уязвимостей. На тестовом хосте за 10 минут видим 400+ попыток RD- входа с разных IP.

⚙️ В сложившихся практиках (отчасти спорных) выставлять RDP открытым считается моветоном, и его предпочитают помещать за VPN, RD Gateway или ограничить доступ по белому списку IP. Хотя в некоторых простых конфигурациях открытый RDP вполне может иметь право на жизнь, особенно для изолированных и некритичных хостов. От администратора потребуется настроить RDP с TLS + NLA + заменить дефолтный порт на что-то из высокого диапазона + блокировать наиболее ретивых ботов по IP.

✅ В статье рассмотрен PowerShell скрипт, который отслеживает логи неудачных попыток RDP подключений и блокирует в файеволе IP адреса, с которых идут попытки перебора.

Защита RDP сервера от перебора паролей с блокировкой IP в файерволе

Открытый в интернет RDP порт 3389 на Windows хосте как магнит притягивает автоматических ботов, которые будут пытаться подобрать пароль для входа, или эксплуатировать одну из известных уязвимостей.

Около минуты

15 февраля 2024