Brute Force RDP sur Windows 2016: Bloquer les attaques 3

J’avais déjà écrit un billet à ce sujet concernant Windows 2012 R2. Avec Windows 2016 les choses sont un peu différentes, car l’adresse IP du hacker est présente dans l’évènement système. Donc voici le script mis à jour pour Windows 2016

En prérequis , il faut toujours installer le module PSSQLite  SQLite :

Ensuite créer la base et la table IP:

Puis créér la regle Firewall :

Et enfin  créer le script qui sera déclenché par enlèvement 4625:

Reste a attacher le script a l’événement 4625 ( comme décrit dans le précéent article , et le tour est joué !

Si vou désirez controler le contenu de la base, je vous recommande cet outil : https://sqlitebrowser.org/

Enjoy 🙂

 

 

3 thoughts on “Brute Force RDP sur Windows 2016: Bloquer les attaques

  1. Reply Nunizgb Oct 8,2019 22:25

    Bonjour
    Merci pour le script qui ajoute bien les IP dans la table SQL par contre la règle pare-feu n’est pas mis à jour avec les IP de la table SQL.
    Lors d’execution du script aucune erreur.
    Comment résoudre pour que la règle pare-feu soit mis à jour.
    Merci

  2. Reply Jérôme Jan 19,2020 19:30

    Bonsoir,

    Je ne m’imaginais pas si exposé 🙂
    30000 tentatives en 2 jours… (oui oui vous avez bien lu).
    Et presque plus rien après la mise en place du script.
    16 @ IP bloquées en quelques minutes.
    Merci beaucoup pour votre partage et pour l’efficacité de cette solution.

  3. Reply Jérôme Mar 16,2020 08:59

    Bonjour,
    Il y a une petite erreur de syntaxe dans la commande de création de la base :
    $Database = « E:\Firewall\IPTable.SQLite »
    Il manque le « .db ».
    Merci pour cet excellent script qui fait régulièrement son job sur mon infra.

Leave a Reply

  

  

  

cinq + 19 =