Windows 2012R2+Exchange+KasperskyWindowsServer

[DGT]

Добрый день.

Имеем связку из WinServer 2012r2, на нем Exchange 2016 и Kaspersky For WindowsServer 11.0.1.897

OWA торчит наружу в Интернет. Последнее время регистрируем в журнале много событий 4625 (отказ доступа) с абсолютно левыми именами пользователей. При этом IP адреса в журнале не отображаются (есть такая проблема в Win2012). Вопрос - можно ли средствами Kaspersky WinSrv блокировать попытки брутфорса? Или хотя бы отображать/писать адреса с которых идет перебор?

Спасибо.

[Kommunist7304]

Модуль называется "Защита от сетевых угроз".

Не весь функционал KSWS доступен на стандартной лицензии, часть требует расширенной.

Для улучшения защиты рекомендую для получения доступа к серверу использовать VPN (например поднять его на маршрутизаторе), а не выставлять наружу "как есть".

В политиках GPO включите антибрутфорс (максимальное количество попыток ввода пароля на единицу времени для учёток).

Edited October 24, 2022 by Kommunist7304

[DGT]

Защита от сетевых угроз включена, стоит "Блокировать соединение при обнаружении атаки". Результата 0. Блокировка аккаунтов при подборе пароля срабатывает на домене. Убирать owa за VPN не вариант.

Как настроить KSWS на защиту от брутфорса? IP BAN использовать не можем, т.к. WIndowsServer2012R2 не пишет IP, с которого идет подбор. А так конечно обошлись бы им. Спасибо.