Добрый день.
Речь идет о сервере терминалов на Windows Server 2008 R2:
Подскажите, пожалуйста, как можно заблокировать IP-адрес, с которого
поступают запросы на подключение (в том числе аутентификация) к серверу терминалов и эти попытки не являются успешными (не верный логин/пароль)?
Попросту говоря, как заблокировать на некоторое время IP-адрес после N-го количества неудачных попыток? Не раз наблюдал картину (на SERVER 2003), когда идет простой подбор и попытки подключиться (появляются процессы с именами Иван, Андрей, Пользователь и т.д.).
Спасибо.

Убрать торчащую в инет голую опу сервера прикрыв ее VPN.

http://www.oszone.net/14561/RDP-Windows-Server-2008-R2
Немного не то, но отсюда можно заключить, что блокировка не имеет смысла. От чайников и существующая защита спасет, а профи ничего не стоит менять свой IP.

какой нить трафик инспектор наверняка это умеет

(2)+ Да и профи не будет заниматься подбором паролей.

Спасибо за ответы.

(1) По возможности хотел не прибегать к VPN, т.к. не настраивал ни разу. А сервер установить надо уже срочно. По сути будет всего два клиента, но хотелось бы защититься.

(2) По вашей ссылке, вот что вычитал:
"Проверка подлинности на сетевом уровне (Network Level Authentication)

Для максимального уровня безопасности следует требовать проверку подлинности на сетевом уровне (Network Level Authentication - NLA) для всех подключений. NLA требует, чтобы пользователи аутентифицировались на сервере RD Session Host, прежде чем сеанс будет создан. Это помогает защитить удаленные компьютеры от злоумышленных пользователей и вредоносного ПО. Чтобы использовать NLA, клиентский компьютер должен использовать операционную систему, которая поддерживает протоколы Credential Security Support Provider (CredSSP), то есть Windows XP SP3 и выше, а также иметь клиента RDC 6.0 или выше."

Как я понял, в этом случае, при условии достойного пароля риска взлома меньше.

Еще поставил KES (каспер), на котором присутствует какой-никакой firewall. Какие порты обычно оставляют, чтобы поменьше дыр было? Использоваться сервер будет по минимуму (терминалы, офисное ПО, файловый сервер, почтовик). Похоже уже вопросы не по топику пошли...

(5) за каспер на сервере отрывать руки. Все-таки лучше поставить VPN, т.к. бесконечно находимые уязвимости никто не отменял, поставь Kerio - файрвол и VPN в одном флаконе.

(5) ВПН на серваке стандартный виндявый ставится очень просто. и уже это снимает кучу проблем. У нас как "только голая опа сервера торчала в инет" - все, сплошная долбежка в эту самую (о)опу от каких-то мударасов...

(6)антивир на сервере нужен обязательно! Но не вместо файервёлов, брэндмауэров и т.п.

VPN не обязательно ставить на сервере, роутеры с поддержкой vpn уже вполне доступны по цене.

(5) Тогда хотя бы смени порт RPD на нестандартный. Хоть какая защита. http://windowsnotes.ru/windows-server-2008/izmenenie-porta-rdp-po-umolchaniyu/

Но VPN всё-таки лучше.