Брутфорс rdp

[wsx]

Происходит атака по подбору пароля rdp c разных ip. Система windows server 2008 . Порт rdp нестандартный. С помощью ПО rdpguard все ip вносятся в правила windows firewall, но тк установлен kaspersky, правила файрволла не срабатывают. Приходится каждый ip (или диапазон) вносить в правила сетевого экрана касперского вручную. Можно ли сделать правила встроенного файрволла работающими при включенном касперском или как автоматизировать блокировку ip через сетевой экран касперского? спасибо

[intellihost]

Привет, как вам удалось ограничить RDP одним статическим IP-адресом? Я столкнулся с проблемой: я хочу ограничить доступ к нашему серверу Windows одним конкретным IP-адресом из нашего vpn. не могли бы вы помочь мне объяснить, как это сделать? Я попытался использовать настройки удаленного рабочего стола, настроил их, чтобы разрешить только мои I.P-адреса «доверенной сети», но это совсем не помогло, тем не менее, всем был разрешен доступ к нашему серверу. даже если я ограничиваю доступ к одному конкретному IP-адресу, он все равно позволяет подключаться всем!

[Friend]

Здравствуйте, @wsx,
Уточнил информацию у руководителя группы тестировщиков:

- "Можно ли сделать правила встроенного файрволла работающими при включенном касперском...?" - нужно просто отключить Firewall в нашем продукте.

- "...как автоматизировать блокировку ip через сетевой экран касперского?"

- Автоматизировать блокировку IP через Firewall нельзя, можно только заблокировать указанные пользователем IP.  Функционал автоматической блокировки при распознавании сетевой атаки есть у компонента IDS.

 

Здравствуйте, @intellihost .
Вы можете выполнить настройку доступа по RDP только с определенных ip-адресов, для этого нужно будет создать несколько правил для RDP , одно запрещающее и разрешающее:

1. В левом нижнем углу главного окна программы Kaspersky Small Office Security нажмите на иконку шестерёнки (кнопка «Настройки»).
2. В новом окне выберите вкладку «Защита».
3. В списке слева выберите компонент «Сетевой экран».
4. В новом окне нажмите на опцию «Пакетные правила».
5. Нажмите на Remote Desktop --> Изменить --> Действие--> Запретить --> Сохранить. Статус Активно
6. Затем «Добавить».
7. Укажите действие Разрешить, название Remote Desktop 1, Направление - Входящие, Протокол - TCP, локальные порты - 3389 (может у вас другой), Адрес - Адрес из списка, укажите адрес компьютера, статус Активно - Сохранить.
8. Затем в списке пакетных правил стрелками Вверх-Вниз установите правило Remote Desktop 1 выше запрещающего правила Remote Desktop.
Таким образом вам необходимо добавить правило для тех ip-адресов, с которых разрешено получать доступ по RDP.

Подробнее про создание сетевых правил можете почитать в статье у Лаборатории Касперского: https://support.kaspersky.ru/15158#block3