Как защитить от брутфорса

[serg131313]

Идет перебор паролей на север по rdp ОС Windows 2012 R2.

Порт 3389 открыт для всех.
У всех пользователей динамические адреса.

Последнее время постоянно атакуется сервер по RDP, каждые три секунды идет подбор пароля и учетной записи. В основном этот перебор не сильно мешает, но последнее время, иногда из-за переборов паролей затруднен доступ реальных пользователей на сервер, т.е. происходит что то типа Doss атаки. Приходится перезагружать сервер, что бы реальные пользователи смогли подключится.

Некоторые запросы попадают в RemoteDesktopServices-RdpCoreTS и успешно блокируются по ip, но еще есть много отказов в журнале безопасности, которых нет в RemoteDesktopServices-RdpCoreTS и нет ip по ним и такие не блокируются, как с ними бороться? все порты кроме rdp закрыты, расшаренных ресурсов нет, локальных пк нет, т е атаки из вне.

Прошу помощи/рекомендаций.

[andrew75]

@serg131313, как минимум

• измените порт RDP (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)
• включите политику блокировки учетной записи (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политика учетных записей - Политика блокировки учетной записи)

Даже если IP динамические, они же все равно не произвольные. Вы можете открыть только IP диапазоны провайдеров через которых работают ваши пользователи.

А вообще конечно надо поднимать VPN сервер.

[Dejavu]

В современных реалиях необходим прокси-сервер с функциями Предотвращения вторжений и с возможностью создания VPN-соединений. Это минимум. Открывать RDP наружу - уже давно не безопасно.