none
Aggiornare automaticamente regola windows firewall in base ad evento di sistema RRS feed

  • Domanda

  • Salve,

    l'azienda per cui lavoro ha un server con windows server 2008 r2 ospitato presso il nostro provider e collegato direttamente alla rete internet. Questo server deve essere raggiunto dall'esterno tramite connessione terminal server per necessità del cliente. Ho notato monitorando il registro degli eventi che sono iniziate sin da subito una quantità considerevole di tentativi di accesso. Ho creato una regola per bloccare gli indirizzi ip incriminati, solo che devo aggiornarla manualmente ogni volta controllando il registro degli eventi. è possibile automatizzare in qualche modo questa operazione ? (vbscript, powershell, criteri di sicurezza, etc...).

    Avete anche qualche altro consiglio per mettere il più possibile in sicurezza il server ?

    Note:

    utilizzo il firewall integrato di windows bloccando tutto eccetto il protocollo RDP (ne ping ne icmp ne altro).

    Le password impostate sono molto robuste.

    l'evento che controllo io manualmente è il 4265 nel registro sicurezza, verifico da quale ip viene fatto il tentativo e lo metto in blocco in una regola delle connessioni in entrata.

    Ringrazio in anticipo,

    in attesa di eventuali risposte.

    giovedì 25 settembre 2014 10:30

Tutte le risposte

  • Ciao, è presto detto: non si può lasciare aperta una porta terminal oggi. Se poi il server è hostato su un provider ancora peggio. Eì un buco di sicurezza grande come una casa che si chiude solamente con una parola: VPN.

    Capisco la problematica di inserire un firewall o una appliance che supporti vpn ma la gente si adatta a lanciare il client prima di aprire la sessione.

    Ad esempio Watchguard di da una VM chiamata XTMV configurabile anche da remoto che occupa pochissimo spazio e va benissimo per avere una VPN sicura verso i server e non costa nemmeno tantissimo, oltretutto ha l'IPS se ti blocca le connessioni sospette da solo.

    Altri modi di mettere al sicuro un server a "porte aperte" non ce ne sono se non giocare con porte e ip ma poi alla fine gli attacchi sfruttano sempre un buco di sicurezza al momento sconosciuto che però magari esiste e ti assicuro, visto cosa è successo con 2003 Server con le porte terminal aperte (hanno criptato il contenuto dei server a mo' di riscatto), che succeda con 2008 R2 è solo questione di tempo.

    Proteggi il tuo server.

    ciao!

    A.

    giovedì 25 settembre 2014 11:34
    Moderatore