web-dev-qa-db-ja.com

Win2008R2:ブルートフォース攻撃の防止

Windows 2008R2を使用しています。

ブルートフォース攻撃を阻止する方法はないかと思います。

私はあちこちを探しましたが、IPアドレスがログオンに失敗した後、IPアドレスをブロックする方法を見つけることができませんでした。

多分私は明白な何かを逃した。

ログオン失敗イベントのイベントログを監視し、原因のIPアドレスをブロックするものが必要です

3
user385411

IPをブロックする場合は、ファイアウォールポリシーを使用してIPをブロックできます。 Windowsはアカウントをロックし、アカウントのセキュリティポリシーで指定された時間に自動ロック解除します。これは通常、ブルートフォース攻撃を適切なタイミングで設定すると防止されますが、監視されていないサーバーでは、DOS攻撃につながる可能性があります。簡単な解決策は、アカウントのロックアウトについてログを解析するスクリプトを作成し、N回のロックアウト後にIPをブロックすることです。このスクリプトは、状況に応じて適切な間隔でスケジュールして実行できます。 IDSも問題を解決します。

3
Jim B

グループポリシーエディターで、

コンピューターの構成\ Windowsの設定\セキュリティの設定\アカウントポリシー\アカウントのロックアウトポリシー

SFへの移行に投票しました。

3
GSerg

アカウントロックアウトポリシーがうまくいかない理由のこの優れた要約を見つけました( https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks から)

アカウントのロックアウトに関する問題は次のとおりです。攻撃者は、多数のアカウントをロックアウトすることにより、サービス拒否(DoS)を引き起こす可能性があります。

存在しないアカウントはロックアウトできないため、有効なアカウント名のみがロックアウトされます。攻撃者は、エラー応答に応じて、この事実を使用してサイトからユーザー名を収集する可能性があります。

攻撃者は、多くのアカウントをロックアウトし、ヘルプデスクにサポートコールを殺到させることで、迂回を引き起こす可能性があります。

攻撃者は、管理者がアカウントのロックを解除してから数秒後でも、同じアカウントを継続的にロックアウトして、アカウントを事実上無効にすることができます。

アカウントのロックアウトは、1時間に数個のパスワードしか試行しない低速の攻撃に対しては効果がありません。

アカウントのロックアウトは、多数のユーザー名に対して1つのパスワードを試行する攻撃に対しては効果がありません。

攻撃者がユーザー名とパスワードの組み合わせリストを使用していて、最初の2、3回の試行で正しく推測している場合、アカウントのロックアウトは効果がありません。

管理者アカウントなどの強力なアカウントは、ロックアウトポリシーをバイパスすることがよくありますが、これらは攻撃するのに最も望ましいアカウントです。一部のシステムは、ネットワークベースのログインでのみ管理者アカウントをロックアウトします。

アカウントをロックアウトした後も、攻撃が継続し、貴重な人的およびコンピューターリソースを消費する可能性があります。

あなたを助けることができるそこにいくつかのソフトウェアがあります。 SyspeaceおよびRDPGuardと呼ばれる、GUIを使用して変更する必要のあるいくつかのスクリプトと少なくとも2つのスクリプト

1
Juha Jurvanen