我们今天在工作中就一篇与安全相关的文章进行了小讨论,我对一件事感到有些惊讶——他们声称一些攻击者设法暴力猜测某人的密码并通过 RDP 登录。这篇文章的重点是您不应该因此公开 RDP。
我很困惑它会起作用。即使在最基本的 Windows 安装中,也存在密码限制。在 5 次尝试失败后,会强制暂停 30 秒(或类似的东西)。RDP 是否可以豁免?您真的可以通过 RDP 每秒尝试数百或数千个密码吗?我在谷歌上找不到这个信息。
让我们假设没有域锁定策略(否则这显然不起作用),而且没有人明确禁用默认启用的任何限制。
登录失败时锁定通常不适用于本地管理员/等。您可以启用将其锁定的设置,但默认设置是锁定设置不适用于管理员帐户。
我不确定您提到的限制,但是在 RDP 暴露于公共互联网的 Windows 服务器上,每小时看到数千次暴力登录尝试是很常见的事情。这些在安全事件日志中显示为事件 ID 为 4625 的审核失败。它们经常循环使用常见的用户名,所以也许这就是它们绕过限制的方式(如果限制适用于 RDP)。
相关:几年前,我整理了一项 Windows 服务,如果在给定时间跨度内具有相同源 IP 的事件日志中出现太多审核失败,防火墙会阻止源 IP。这是一个简短的文章链接:http: //huagati.blogspot.com/2014/02/blocking-rdp-brute-force-logon-attacks.html