Не нашёл подходящей ветки. Решил написать.
Сервер с Windows Server 2008R2 с запущенной службой Удалённых рабочих столов подключен к Интернет через локальный маршрутизатор. На маршрутизаторе единственный открытый порт 3389, переадресованный на тот самый Сервер Удалённых рабочих столов. Контроллер домена на другом сервере. Без доступа к Интернет. С такими настройками сеть стоит с 2009 года.
Атаки по RDP начались сразу после появления сервера в Интернет. Интересно стало, кто пытается подключиться к серверу. Включил аудит отказов на подключение. Каждый день по 5-6 атак с разных IP-адресов. Ну, что делать, ребятишки развлекаются. Года 2 смотрел на это. В худшем случае атакующий делал 1000-2000 попыток подключения, и отваливался. Если начиналась более серьёзная атака с попытками подбора 50-60 раз в секунду, то журнал регистрации переполнялся через 2-3 часа атаки. Увеличивать размер журнала я не стал. Ну, не за 3 часа его заполнят, а за 30. Мне-то чем поможет? Я перестал смотреть каждый день. Но иногда проверял, что там. Пока нормально. Но в последнее время атаки непрерывны. Иногда серьёзно нагружают сервер.
Пароль соответствует требованиям Windows Server 2008 R2. Но возник вопрос. Почему ОС не блокирует многочисленные попытки подключения по RDP с неправильным именем или паролем? Попытки следуют, иногда, более 100 раз в секунду.
При таком раскладе, просто вопрос времени когда пароль будет взломан, через 100 лет или с 1001 попытки. А если кому-то повезёт и он даже до миллиона попыток не дойдёт и получит пароль?
Неправильное подключение с учётной записью домена блокируется быстро. Почему также не блокируется подключение с учётной записью локального Администратора?
