Shunze 學園 - 《分享》遠端桌面RDP防暴力密碼猜測

Shunze 學園 >電腦資訊學系 >吃軟不吃硬 > 《分享》遠端桌面RDP防暴力密碼猜測

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》遠端桌面RDP防暴力密碼猜測

前陣子剛完成了Ubuntu上的防暴力密碼猜測的工具安裝(fail2ban)，
那麼在Windows平台上，最常用的管理工具-遠端桌面(RDP)有沒有類似的軟體可以達到此封鎖機制呢？

很遺憾的，雖然有，但不完整...
之所以不完整，在於隨著前端登入的作業系統版本不同，Server上的log資訊也不一樣。

以Windows XP來說，透過RDP登入Windows 2008 R2失敗後，
它會在安全性的稽核事件出現對應的ID 4625記錄
而此事件記錄會記錄遠端使用者的IP。

但以Windows 7來說，以安全層級較高的NTLM驗證後，失敗的登入事件4625記錄，並不會留下遠端IP。

這兩者的差異，讓透過分析事件4625以找出遠端IP的script做法失敗，
例如 Setup TS_Block to block ip addresses of ...al / RDS server 與 Ban IP address based on X number of unsu... login attempts
所以此封鎖法無效。

後來，在網路上發現，有人推薦使用 Cyberarms。
經測試後發現，這個軟體剛好跟上述方法相反，只有安全層級較高的NTLM驗證後的失敗記錄可以封鎖；
Windows XP上舊版的mstsc.exe可以不限次數的去暴力測試！？
事情的發展還真有些尷尬...

免費版的 Cyberarms 可以進行一個concurrent封鎖，

如果你的Server可以限制前端user只能透過安全層級較高的NTLM驗證登入，那麼 Cyberarms 是個還不錯的封鎖工具！

以下順子簡單介紹 Cyberarms 的安裝及設定方法。

下載安裝 Cyberarms 時，它會要求環境中要有 .NET Framework 4 與 Visual C++ 2010 Runtime Libaries 軟體，
同意它的條件需求，它會自己去下載軟體並進行安裝。
安裝完成，Cyberarms的操作UI如下，在dashboard中簡潔的顯示了目前的狀態與安裝的Agent。
基本的封鎖設定、白名單、通知機制、SMTP組態等，都SETTING頁籤中。

在預設封鎖設定Lock out configuration裏，共有兩組封鎖設定-Soft & Hard，
這兩組的設定剛好應用於不小心及惡意兩種不同強度的登入意圖。

不小心的錯誤，可以進行短暫的時間封鎖(Soft)；
一旦達到惡意的入侵意圖，不斷的嘗試密碼猜測，則可進行較長時間的封鎖(Hard)，
甚至是永久封鎖，列為拒絕往來戶(Hard Lock forever)。

而在Safe networks中，則可定義白名單，排除IP或網段於封鎖機制之外。

在Notification settings中則可以勾選設定需要通知的事件記錄。

上述勾選事件的通知若能透過email來通知是最好的，當然在 Cyberarms 裏支援了郵件通知。

↑雖然smtp的設定裏支援了SSL SMTP，不過Gmail的STARTTLS還不支援喔～
其實 Cyberarms 並不是只能針對RDP來進行密碼猜測之封鎖，
它還安裝了FTP、SMTP、SQL、RRAS等多個服務的Agent。

要啟用哪一個偵測封鎖機制，就在該Agent的頁面勾選“Enable this Security Agent”來啟用偵測服務吧。

若該服務的封鎖時間與預設Global設定不同，
則可以勾選“Override configuration”選項，並調整次數及時間的參數。
封鎖IP的解鎖，則可到CURRENT LOCKS裏，點選IP後按下“Unlock IP address”來進行解鎖。
至於事件記錄，可以到SECURITY LOG中來查尋。