windows远程桌面链接(RDP),实时防暴力破解(Windows自带办法)._百度知...
发布网友
发布时间:2024-09-17 02:41
共1个回答
热心网友
时间:2024-10-14 14:09
首先,确认是否遭受攻击。通过控制面板-事件查看器-Windows日志-安全,查找事件ID为4625的日志,关键信息为审核失败,表示有大量攻击者试图远程登录目标设备。
策略一:修改3389端口或外网映射端口。临时采用此方法可阻止当前攻击,但不从根本上解决问题,攻击者会重新扫描所有端口以发现新的远程登录端口。
策略二:修改windows账户用户名。此方法有效,因为攻击者通常尝试使用管理员账户名或常规用户名发起攻击。然而,对于服务器而言,更改用户名可能较为复杂,且黑客会提前收集常见名称进行暴力破解。
策略三:在网关或防火墙设备上设置IP限制规则。若每次远程连接为固定IP,通过添加白名单或建立ALC规则实现。缺点在于外出时更换IP或使用手机连接可能受影响。
策略四:勤打补丁。尽管补丁能解决某些老旧漏洞攻击,但黑客的嗅觉总比更新补丁要快。此方法适用于对抗非暴力破解的漏洞。
策略五:修改安全策略。启用账户锁定策略,能有效防止暴力破解,但可能导致用户无法登录服务器。此方法权衡了安全性和用户体验。
策略六:设置复杂密码。强密码可抵御几天的攻击,但并非长久之计。除非密码强度极高,用户自身也难以记忆。
策略七:阻止特定攻击IP。通过观察日志找出攻击者IP,将其加入防火墙的阻断列表。此方法可通过第三方应用实现,但下载可能存在风险。推荐使用Windows自带方法:创建文本文档保存为blockIP.ps1(更改后缀为.ps1),在管理员权限下运行powershell执行脚本,然后在控制面板-Windows Defender 防火墙-高级设置-入站规则中查看并建立IP阻断规则。可设置脚本在每次远程登录后执行,或将其添加到任务计划中,每隔几个小时执行一次(需调整脚本获取日志时间范围参数以适应任务计划执行间隔)。
通过实时发现攻击并即时阻断,可有效防范暴力破解攻击,确保设备安全。此方法结合了Windows自带功能与脚本执行,实现自动化防护,确保设备在面临远程桌面服务攻击时得到及时响应。
