Всем привет!
Такая вот проблема:

Есть сервер арендуемый в другой стране, на него все подключаются по RDP. В последнее время в Журнале - Безопасность фиксируются события Аудит отказа, где видно что перебирают логин и пароль с разных внешних IP адресов.
Мы подключаемся только с 2х внешних IP.

Подскажите какую программу можно поставить для защиты сервера и фильтрации IP, что бы прописать 3 внешних IP которые смогут видеть этот сервер а остальные отрезать!?

Интересует программа которая не дает сбоев и корректно работает на server 2008 r2 x64. и что бы в ней не было ничего лишнего!

Заранее спасибо.

Интересует программа которая не дает сбоев и корректно работает на server 2008 r2 x64. и что бы в ней не было ничего лишнего!
Защита Windows Server 2008 R2 с помощью брандмауэра (http://www.osp.ru/win2000/2012/03/13016351/)

Сержа, обычным брандмауэром настройте.

Добрый день!
Брандмауэром настроил (см рис). Проверял с IP которых нет в списке, не пускает, а пускает только с этих 3х IP

Но в журнале все равно фиксируется Аудит отказа с разных IP


Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ADMIN
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: \\58.137.112.204
Сетевой адрес источника: 58.137.112.204
Порт источника: 4602

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.



Подскажите в чем может быть еще косяк.?

Тип входа: 3 »
http://technet.microsoft.com/ru-ru/library/cc787567(v=ws.10).aspx
3 Сеть
Пользователь или компьютер вошли на данный компьютер через сеть.
10 RemoteInteractive
Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.
по SMB пытаются зайти. закрывайте 445 порт.
какие роли на сервере?

exo, роли веб сервера, dns сервера, Удаленных раб столов, Файловые службы.
Да про порт 445 забыл, сейчас буду закрыть и попробую.
Спасибо

Порт 445 прикрыл!
Аудита отказа почти нет, но раз в час или 3 все равно появляются события с неизвестными IP
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: administrator
Домен учетной записи: W116255251212
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: W116255251212
Сетевой адрес источника: 116.255.251.212
Порт источника: 3885
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0




Что еще можно прикрыть? какой порт!

Порт 445 прикрыл! »
для каких адресов? 116 сеть там есть?

exo, закрыл всем кроме 3х внешних ip.
116 нет.

В журнале светятся сейчас 2 ip

Тип входа: 3

Сведения о сети:
Имя рабочей станции: W116255192196
Сетевой адрес источника: 116.255.192.196
Порт источника: 4974


Сведения о сети:
Имя рабочей станции: QAWSVR2
Сетевой адрес источника: 97.76.90.21
Порт источника: 1962

раньше ip было куча, теперь 2-3. И Аудит отказа забивал весь журнал, сейчас же только ночью в течении одного двух часов фиксируется Аудит отказа.

сейчас же только ночью в течении одного двух часов фиксируется Аудит отказа. »
может бот какой-то. если учётная запись админа заблокирована - беспокоится не о чем.

Добрый день!
Прошу помощи т.к опять посыпались аудиты отказа в журнале:

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: banker
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: AMDTCAP49
Сетевой адрес источника: 97.65.88.64
Порт источника: 53955

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.


Вот скрин Брандмауэра, что тут я не прописал или не учел? для 445 и для 3389