问了下AI,给小鸡增加了IPban,还有这个Duo MFA挺有意思的。
安装ipban:https://github.com/DigitalRuby/IPBan (支持win和linux)
powershell:
$ProgressPreference = 'SilentlyContinue'; [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; iex "& { $((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/DigitalRuby/IPBan/master/IPBanCore/Windows/Scripts/install_latest.ps1')) } -startupType 'delayed-auto'"
其他建议
关闭smb:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -EnableSMB2Protocol $false
账户策略调整 (Local Security Policy)
运行 secpol.msc:
重命名管理员账户:将 Administrator 重命名为不明显的名称(如 SysUser),
并创建一个无权限的假 Administrator 陷阱账户。
账户锁定策略:设置“账户锁定阈值”为 5-10 次,防止无限爆破。
PowerShell 审计
攻击者常利用 PowerShell 脚本。启用 PowerShell 的“脚本块日志记录”
(Script Block Logging),以便在被入侵后进行取证(使用 Sysmon 或事件查看器)。
IPBan (Windows 版的 Fail2Ban)
作用:自动扫描 Windows 事件查看器,发现多次 RDP 登录失败的 IP 并自动在 Windows 防火墙中封锁。
关键配置:
下载并作为服务运行。
配置 ban time(封禁时间)为永久或极长(如 7 天)。
它支持从 blocklist.de 等源同步全球恶意 IP 列表。
防火墙白名单,组网或frp stcp连接,端口都不用改
不整花里胡哨的,杜绝从外部连入的可能性
冷门端口
Fail2Ban设置好规则,一发现恶意IP,立马永久封禁
过一两个月,日志就会非常干净了
@xe #2 白名单有效 但frp后还是在中转机上暴露了端口啊
@NSdesk #3 win也有Fail2Ban吗,我一直以为linux才有
我一般都是桌面环境的debian + rdp组件
@sudoerx #4
中转机linux的话配合ipset设置地区白名单,减少暴露。
3389端口换掉基本差不多了
不用弱密码爆破一百年也无所谓,而且我自己用下来,换个端口基本就没啥事了
直接网关禁止国外ip,解决99%的问题