Brute Force RDP sur Windows 2016: Bloquer les attaques 10

J’avais déjà écrit un billet à ce sujet concernant Windows 2012 R2. Avec Windows 2016 les choses sont un peu différentes, car l’adresse IP du hacker est présente dans l’évènement système. Donc voici le script mis à jour pour Windows 2016

En prérequis , il faut toujours installer le module PSSQLite  SQLite :

Ensuite créer la base et la table IP:

Puis créér la regle Firewall :

Et enfin  créer le script qui sera déclenché par enlèvement 4625:

Reste a attacher le script a l’événement 4625 ( comme décrit dans le précéent article , et le tour est joué !

Si vou désirez controler le contenu de la base, je vous recommande cet outil : https://sqlitebrowser.org/

Enjoy 🙂

 

 

10 thoughts on “Brute Force RDP sur Windows 2016: Bloquer les attaques

  1. Reply Nunizgb Oct 8,2019 22:25

    Bonjour
    Merci pour le script qui ajoute bien les IP dans la table SQL par contre la règle pare-feu n’est pas mis à jour avec les IP de la table SQL.
    Lors d’execution du script aucune erreur.
    Comment résoudre pour que la règle pare-feu soit mis à jour.
    Merci

  2. Reply Jérôme Jan 19,2020 19:30

    Bonsoir,

    Je ne m’imaginais pas si exposé 🙂
    30000 tentatives en 2 jours… (oui oui vous avez bien lu).
    Et presque plus rien après la mise en place du script.
    16 @ IP bloquées en quelques minutes.
    Merci beaucoup pour votre partage et pour l’efficacité de cette solution.

  3. Reply Jérôme Mar 16,2020 08:59

    Bonjour,
    Il y a une petite erreur de syntaxe dans la commande de création de la base :
    $Database = « E:\Firewall\IPTable.SQLite »
    Il manque le « .db ».
    Merci pour cet excellent script qui fait régulièrement son job sur mon infra.

  4. Reply Vecteur IT Avr 3,2020 11:59

    @ Jérome C’est corrigé !

  5. Reply Maxou Avr 7,2020 05:34

    Bonsoir,

    Le script s’exécute bien et enregistre les ip dans la base de donnée mais j’ai l’impression que la règle dans le pare feux ne s’actualise car j’ai test via mon 4G en faisant une erreur dans le mot de passe et je peux me connecter autant de fois que je veux

  6. Reply Maxou45400 Avr 7,2020 18:09

    Bonsoir,

    Normal que l’adresse IP 127.0.0.1 se retrouve dans la blackliste dans le pare feux

  7. Reply Vecteur IT Avr 9,2020 11:34

    Faut regarder sur la règle FW les ip ajoutées…

  8. Reply Vecteur IT Avr 9,2020 11:35

    Oui, sinon si il n’y a aucune IP alors tout le trafic 3389 est bloqué: et faire u rdp sur le 127.0.0.1 n’a aucun interet

  9. Reply Jérôme Sep 15,2021 11:43

    Bonjour,

    Tout d’abord merci pour votre script qui fonctionne bien sur la plus part de nos serveurs.
    J’en ai un qui me pose problème au niveau de la mise à jour de la règle FireWall « Black List » voici le message que powershell me renvoi:

    Type [DBNullScrubber] introuvable.
    Au caractère C:\Users\Administrateur.WIN-402Q47JKKTP\Documents\WindowsPowerShell\Modules\PSSQLite\Invoke-SqliteQuery.ps1:536 : 25
    + [DBNullScrubber]::DataRowToPSObject($row)
    + ~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation : (DBNullScrubber:TypeName) [], RuntimeException
    + FullyQualifiedErrorId : TypeNotFound

    Auriez-vous déjà eu le cas?
    Cordialement

  10. Reply Asdean Oct 13,2021 16:08

    Bonjour,

    Comment peut-on exclure les adresses IP du réseau local de la règle (exemple 192.168.1.x). J’ai plusieurs postes qui génèrent l’ID 4625 alors qu’ils sont connectés en TSE et du coup qui passe dans la règle « BLACK LIST »?
    Merci d’avance

Leave a Reply