Есть Windows Server 2012 в роли сервера терминалов, к которому пользователи могут подключаться извне по RDP.
Какое существует средство против перебора паролей к доменным учёткам? Есть ли программы, которые умеют определять перебор и блокировать подозрительные подключения к терминалу?
В событиях (Windows Logs —> Security) аудита авторизации заметил непрерывные попытки подбора паролей к логинам доменных учёток. Каждое неудачнео событие помечается как "Audit Failure" и таких много.
Причем, каждый раз разный "Account Name".
Посоветуйте, пожалуйста, средство против перебора паролей к доменным учёткам по RDP. Спасибо
Этот вариант рассматривали, но пользователей очень много. Руководство против, потому что есть совсем простые пользователи, которым даже VPN поднять будет сложно.
Как написали выше - рдп доступный извне это плохо. Но если никуда не деться, то сменить стандартный порт (3389) на внешнем интерфейсе, на другой и просто форвардить. Так же не использовать стандартные учетки типа Administrator, admin, root, ну и настроить количество неудачных попыток входа, в групповой политике.
Неудачные попытки настраивали и длительность "отказа" после неудачных входов тоже. Порт менять не вариант, потому что много пользователей и каждому менять настройки это очень долго.
Есть ли программа типа RdpGurad, но бесплатная какая-нибудь?
Ну сделайте два правила порт форвардинга, один старый 3389->3389, другой новый, допустим 5678->3389. Создайте файлик с настройками на новый порт и положите на рабочий стол каждому пользователю, а при логоне выдавайте ему сообщение, что нужно скопировать себе этот файлик и использовать его для подключения, т. к. старое подключение перестанет действовать через 10 дней.
З. Ы. А у вашей RdpGuard был аналог EvlWatcher, но разаработчик решил его полностью переделать и пока находится в режиме тестирования. Там был анализ ивент логов и добавление правил к виндовому фаерволлу