Безопасность сервера 2008
 

Как известно если просто развернуть сервер Win 2008 R2 или даже Win 2012 и открыть порт RDP снаружи, то начинается долбежка и подбор паролей пользователей.

Если смотреть в логах сервера: Просмотр событий - Журналы Windows - Безопасность, то видно, что подбор происходит постоянно.

И избавиться от этого х. з. как?

Но если установить на обычный комп вин 7 и установить на него https://github.com/stascorp/rdpwrap/releases. То годами подбор паролей не происходит, даже если открыть порт РДП.

Отсюда вопрос: как сервер 2008 или 2012 остается доступен для подбора паролей??
Как сделать сервер 2008 или 2012 не видимым в интернете?

Может какой то порт закрыть?? Прошу помощи...

best practice, так сказать - спрятать все за межсетевой экран, настроить vpn, и спать спокойно.
жизненный опыт - прячем за мсэ, делаем порт форвардинг с рандомного порта (желательно за 10000м) на 3389 сервера и спим чуть менее спокойно.

а логи успешной аунтификации то есть? ;)

best practice - Что это? межсетевой экран - Это как? vpn - тот еще геморрой. К тому же у 3-х из 5-ти серверов уже установлен ВПН, как второй параллельно поднять? Я без понятия? прячем за мсэ - что это? форвардинг - что это? (желательно за 10000м) - что это?

Да, бывают... :read:

Я так понимаю, что в этой ситуации только поднятие ВПН поможет?? Или нет?

Вам выслать?

Никто в своем уме так не делает именно по той причине, которую вы описываете.

Гораздо интереснее, как вас допустили к работе с серверами, если вы не знаете не то что основы работы с сетями, но даже элементарнейшими понятиями не владеете? По знакомству что ли? Вы даже совсем банально не в состоянии пойти и погуглить непонятные вам понятия, да? Межсетевой экран
На практике МСЭ - Межсетевой экран - это некая железка (компьютер, сервер, роутер), оснащенная соответсвующими функциями. Вариантов исполнения огромная куча, от самого донного варианта на windows server, до средних вариантов типа бюджетных роутеров d-link, keenetic и линуксовых сборок типа zentyal, pfSense и тд. до самых навороченных в виде cisco или хоть mikrotic.

Дальше опять же открываете литературу и читаете про NAT, форвардинг и прочие изыски, чтобы не задавать глупых вопросов.
В общем случае, после установки межсетевого экрана (не очень представляю, как вообще вы без него нормальную сеть построили), вам нужно выполнить проброс порта по схеме - "пакеты, приходящие на [внешний IP] по порту [12345] пересылать на [внутренний IP] по порту 3389"
где [внешний IP] - это IP, выданный вам провайдером, для выхода в интернет.
порт [12345] - произвольный порт, взятый из головы, не совпадающий со стандартными портами.
[внутренний IP] - IP вашего сервера в локальной сети.
порт 3389 - стандартный порт RDP, который понятен серверу.

Из внешней сети подключение к RDP происходит по шаблону [Внешний IP]:12345

Если для вас это геморрой, то вам нечего делать в сфере IT.

Тогда что вам мешает ими пользоваться?