Защита от ботов и брутфорса RDP на серверах с Windows
Введение
В последнее время сканирование сетей и брутфорс-атаки на RDP стали очень распространены, к сожалению. Боты проходятся по целым сетям популярных дата-центров, после чего зачастую невозможно подключиться к серверу по RDP:
или
В этом случае в журнале событий Windows (раздел безопасность) вы увидите нечто похожее:
Вариант защиты №1. Изменение стандартного порта RDP
Боты занимаются массовым брутфорсом, поэтому они используют стандартный rdp-порт. Его изменение поможет нам от нетаргетированных атак.
1. Открываем редактор реестра Windows — regedit, с помощью «Выполнить» (Win+R).
2. Перейдите в следующую ветку/подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3. Найдите запись реестра PortNumber и откройте её редактирование.
4. Переключитесь в десятичный формат и введите новый порт, вместо стандартного 3389. Например: 13380
5. Потребуется перезагрузка сервера, чтобы изменение порта вступило в силу.
Теперь при подключении к серверу вы должны указывать порт, через двоеточие:
Обратите внимание: если у вас включен firewall (брандмауэр Windows), то также понадобится создать разрешающее правило для входящих TCP-соединений для нового rdp-порта.
Вариант защиты №2. Установка лимитов
Заходим в Локальную политику безопасности.
(Политики учетных записей/Политика блокировки учетных записей)
Настраиваем количество попыток и время блокировки.
Вариант защиты №3. Белый список ⭐
Самым эффективным способом будет использование белого списка ip-адресов, которые смогут подключаться к вашему серверу по RDP, а все остальные соединения будут блокироваться. Для этого настраиваем соответствующим образом Windows Firewall.
Если у вас возникли какие-либо сложности при настройке RDP Windows на вашем сервере — обратитесь в службу поддержки Abcd.Hosting.