Не работает блокировка атак. Идет брут RDP. Более 20 000 попыток взлома за день

[Эрик]

1. Windows Server 2016 1607
2. Kaspersky Endpoint security cloud 11.10.0.399AES56
3. Идет брут RDP. Более 20 000 попыток подбора пароля за день. в описании заявлено, что программа должна предотвращать попытки взлома. По факту этого не происходит. В настройках этот блок включен. Что не так?

[mike 1]

Если у вас наружу rdp открыт без какого-либо межсетевого экрана, vpn, то антивирус вас особо не спасет.

[Эрик]

1 час назад, mike 1 сказал:

Если у вас наружу rdp открыт без какого-либо межсетевого экрана, vpn, то антивирус вас особо не спасет.

Да, но у создателя антивиря заявлено, что попытки атаки должны пресекаться и блокироваться

[mike 1]

8 часов назад, Эрик сказал:

Да, но у создателя антивиря заявлено, что попытки атаки должны пресекаться и блокироваться

Но это не значит, что все из них будут блокироваться. Для эффективной защиты L3 используются всё таки другие решения. 

[Эрик]

9 часов назад, mike 1 сказал:

Но это не значит, что все из них будут блокироваться. Для эффективной защиты L3 используются всё таки другие решения. 

Они вообще не блокируются ) я проверил. Т.е. блок полностью не срабатывает на бруте RDP. Хотя вот в описании написано, что эффективно предотвращает атаки

 

[ElvinE5]

19 часов назад, Эрик сказал:

Они вообще не блокируются ) я проверил. Т.е. блок полностью не срабатывает на бруте RDP. Хотя вот в описании написано, что эффективно предотвращает атаки

 

Увеличить время блокировки атакующих ... однако это не сильно поможет, так как атака наверняка осуществляется с множества разных адресов. Как говорили выше, вам необходима "убрать" ваш сервер торчащий в интернет, используйте VPN для подключения пользователь к серверу. 

 

[Эрик]

1 час назад, ElvinE5 сказал:

Увеличить время блокировки атакующих ... однако это не сильно поможет, так как атака наверняка осуществляется с множества разных адресов. Как говорили выше, вам необходима "убрать" ваш сервер торчащий в интернет, используйте VPN для подключения пользователь к серверу. 

 

проблема не в этом... они просто не блочатся
вообще
атакующих айпи всего 15, не так много
через сетевой экран вручную блочатся, а модуль защиты от атак не блочит вообще

[andrew75]

22 минуты назад, Эрик сказал:

проблема не в этом... они просто не блочатся

а где написано. что программа должна предотвращать брут RDP?

[Friend]

1 час назад, andrew75 сказал:

программа должна предотвращать брут RDP?

В целом это одна из основных функций компонента , а детектит обычно так: Bruteforce.Generic.Bruteforce.Generic.RDP

22 часа назад, Эрик сказал:

Они вообще не блокируются ) я проверил.

Тогда нужно обращаться в поддержку и диагностировать проблему:  https://companyaccount.kaspersky.com/account/login

[Эрик]

В 03.11.2022 в 15:52, Friend сказал:

В целом это одна из основных функций компонента , а детектит обычно так: Bruteforce.Generic.Bruteforce.Generic.RDP

Тогда нужно обращаться в поддержку и диагностировать проблему:  https://companyaccount.kaspersky.com/account/login

В саппорте сказали что это нормально, что 20 000 попыток в сутки это не считается атакой... Как-то так ) Т.е. в целом модуль защиты от брута не работает и не будет работать , странно что это заявлено

[Friend]

16 минут назад, Эрик сказал:

саппорте сказали что это нормально, что 20 000 попыток в сутки это не считается атакой

Вы какие-нибудь логи отправляли или просто спросили? Может вас неправильно поняли?
Есть номер запроса?  Задавали вопрос какие они считают брутом (взломом) тогда?

[Эрик]

В 11.11.2022 в 14:26, Friend сказал:

Вы какие-нибудь логи отправляли или просто спросили? Может вас неправильно поняли?
Есть номер запроса?  Задавали вопрос какие они считают брутом (взломом) тогда?

INC000014665978 номер обращения

Да, я задал вопрос на тему, что считается брутом и почему мой случай не брут, также предоставил все запрошенные данные. Жду ответа