간단하게 어떤 윈도우 RDP 연결을 강화

2020-04-08 18:38:13 독서 시간: null

최근 때문에 전염병, 우리는 가정에서 노력하고 있습니다. 방화벽에서 원격 연결, 가상 개인 네트워크를 사용하지 않고 일부 소규모 사무실,하지만 직접 포트 포워딩의 경우, 포트 3389의 서버로 직접 이동합니다. 그리고 결과는 모두 액세스 할 수 있습니다 리드 방화벽 소스 IP에 제한이 없습니다, 때문에 여러 가지 이유로 인터넷에서 사람입니다. 외부 네트워크 포트의 변화는 특히 대형하지만 시간 문제이고, 너무 많은 보안을 올릴 수없는 소프트웨어를 스캔 할 경우에도.

콩은 오늘 같은 문제를 만났다. 병원 지속적으로 서버를 다시 시작, 고든 인증 이벤트 실패 보안 로그의 다양한 있다는 것을에 가서 보았다. 그리고 서버는 완전히 알몸, 보안 소프트웨어를 설치하지 않았다.

간단하게 어떤 윈도우 RDP 연결을 강화

이 모양의 불편은 약 간단한 스크립트 문의 쓰기


function get-hacker{

$eventcritea = @{logname='security';id=4625}

$Events =get-winevent  -FilterHashtable $eventcritea  -MaxEvents 1000

#$Events = Get-WinEvent -ComputerName syddc01 -FilterHashtable $eventcritea     

# Parse out the event message data            
ForEach ($Event in $Events) {    

    # Convert the event to XML            
    $eventXML = [xml]$Event.ToXml()    

    # Iterate through each one of the XML message properties            
    For ($i=0; $i -lt $eventXML.Event.EventData.Data.Count; $i++) { 

        # Append these as object properties            
        Add-Member -InputObject $Event -MemberType NoteProperty -Force -Name  $eventXML.Event.EventData.Data[$i].name -Value $eventXML.Event.EventData.Data[$i].'#text'            
    }            
}            

$events | select TimeCreated, TargetUserName, ipAddress

}

$result=get-hacker

아래의 결과는, 당신은 다른 측면은 다른 사용자 이름을 시도 볼 수 있지만 IP 주소를 표시하지 않습니다

간단하게 어떤 윈도우 RDP 연결을 강화

해당 RemoteDesktopService-RdpCoreTS에, 걱정하지 마세요 / 작동은 다른면을 보는 것은 스캔을 계속하는 동안 코드 사전을 해독하려고 시도 볼 수 있습니다, 아래 그림과 같이 우리가 실제 IP 주소를 볼 수 있으며, 내부 기록

간단하게 어떤 윈도우 RDP 연결을 강화

약간 위의 스크립트를 수정 재 스캔에


function get-hacker{

$eventcritea = @{logname='Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational';id=140}

$Events =get-winevent  -FilterHashtable $eventcritea  -MaxEvents 1000

#$Events = Get-WinEvent -ComputerName syddc01 -FilterHashtable $eventcritea     

# Parse out the event message data            
ForEach ($Event in $Events) {    

    # Convert the event to XML            
    $eventXML = [xml]$Event.ToXml()    

        # Append these as object properties            
        Add-Member -InputObject $Event -MemberType NoteProperty -Force -Name  IP -Value $eventXML.Event.EventData.Data.'#text'            

}            

$events

}

$result=get-hacker

$result | select timecreated, IP | group-object ip

우리는 여섯 개 위치에서 악의적 인 스캔의 다른면을 볼 수 있습니다

간단하게 어떤 윈도우 RDP 연결을 강화

너무 쓰레기 때문에 난 그냥 Windows 방화벽에 대한 전략을 구축 있도록이 라우터 클리닉, 당신은 방화벽 정책을 구성 할 수 없습니다,이 IP 주소의 몇 블록이었다.

간단하게 어떤 윈도우 RDP 연결을 강화

로그를 재 - 스캔 한 후, 새로운 정보를 효과적으로 차단을 증명하기 위해 제공되고 있지.

그런 다음 부드러운 살인을 설치하는 악성 파일의 무리를 정리.

경우에 임시 보호 조치는, 다음 단계는 당신이 그들의 구식 골동품 장비를 교체하기 위해, 다른 사무실에 새 라우터를 구성해야합니다.

추천

출처blog.51cto.com/beanxyz/2485668
추천
(MySQL의 마이그레이션 테이블 데이터에서 MSSQL2008R2에) MySQL 용 마이크로 소프트 SQL 서버 마이그레이션 지원 _3
양적 연구 방법 (PUBL0055)
C # 색상 변환
vim 일반 작업
지도에 스트림 내 목록에 추가
[전체 가이드] 비밀번호 없이 OPPO 전화 잠금 해제하는 방법
vim이 정지 모드에서 응답하지 않습니다.
Qt: 윈도우 이벤트 전달 순서
MySQL 内存泄露怎样检查
고급 C 언어 포인터
아카이브
기타
2020-04-08(1460)
2020-04-07(1517)
2020-04-06(1499)
2020-04-05(1440)
2020-04-04(1629)
2020-04-03(1644)
2020-04-02(1572)
2020-04-01(1665)
2020-03-31(1639)
2020-03-30(1334)

코드 세계

© 2018 codetd.com