Защищаем RDP сервер от перебора паролей с блокировкой по IP

Для защиты RDP сервера от брутфорса мы воспользуемся утилитой IPBan от Jeff Johnson. Утилита IPBan блокирует IP-адрес, с которого идет перебор паролей, после нескольких неудачных попыток авторизации.

Для начала проведем подготовительный этап. Для того чтобы в логах системы отображались IP-адреса, с которых идет перебор паролей, нам нужно включить аудит событий.

Переходим в «Локальные политики» (Win + R, введите secpol.msc и нажмите «OK») → «Политика аудита» и включаем регистрацию событий для:

• «Аудита входа в систему»
• «Аудита событий входа в систему»

Подготовительный этап закончен, переходим к настройке IPBan.

Скачиваем утилиту https://github.com/DigitalRuby/IPBan/releases для своей разрядности Windows.

Распаковываем архив, к примеру, на диск C:\ в папку ipban.

Запускаем cmd-консоль обязательно с правами администратора и прописываем IPBan как службу Windows командой:

sc.exe create IPBAN type=own start=delayed-auto binPath=c:\ipban\DigitalRuby.IPBan.exe DisplayName=IPBAN

Заходим в оснастку служб Windows (Win + R, введите services.msc и нажмите «OK»), находим и запускаем службу IPBAN.

IPBan отслеживает неудачные попытки входа и автоматически добавляет правило для Windows Firewall.

Удалить случайно добавленный IP-адрес либо посмотреть, какие адреса сейчас заблокированы, можно в оснастке фаервола — правило IPBan_Block_0.

Также создаются два правила:

• IPBan_EmergingThreats_0
• IPBan_EmergingThreats_1000

Это общеизвестные IP-адреса, с которых происходят попытки подбора паролей.

Вот и всё, теперь наш Windows-сервер защищен от перебора паролей.

P.S. Также этот способ работает на Windows 8 – Windows 10.