идет подбор пароля на терминальный сервер (через нное количество раз учетка, если есть то блокируется), но если раньше было хотя бы Admin, Админ, Buh001, ZP то сейчас какой то бред SEX_SHOP, БА_НЯ, С_ПА, S_EX (без нижнего дефиса), в журнале windows не вижу IP подборщика, это можно как то настроить? (windows server 2012 std)

(0) У тебя терминал торчит наружу голым задом. Прикройся впн

(1) впн придумали трусы.
Ведь вычислить по IP местонахождение, прийти и набить мордасы - гораздо круче.

В журнале пишется

(1) ВПН не торчит голым задом?

Ставь пароли несловарные в 26 знаков и не обращай внимание

Интересно, 1С: Бордель всё-таки зарелизили? Откуда такой набор логинов? )))

(4) Нет.

(4) Он специально задуман для того чтобы торчать и у него бронированные ягодицы :)

(8) ну да... вскрыть какой-нибудь IKE у Cisco - посмотрел бы я на это...

(0) Достаточно поменять порт 3389, на любой другой.
Таких случаев будет в разы меньше. Проверил не практике.

(0) SEP. Поставил и забыл.

(0)Посмотреть на роутере, или в журнале винды.
Если есть возможность - настроить вход только с разрешенных.
Если пароли нормальные и безопасность RDP настроенна корректно - не взломают, не стоит беспокоится.

Если есть случаи блокировки учетки -  можете в VPN завернуть, можете порт поменять, на нестандартных поменьше брутят, можно имя учетки усложнить.

(2) VPN чисто для RDP это уж слишком.
Безопасность нормально настраивается и без него.

Ну и торчит как правило сервер не голым задом, а за железным файерволом и NAT - просто проброшен нужный порт.

(13) не забывайте, что зараза может прилететь по почте, пофестивалить в локалке и ломануться наружу.

(14) от этого нет защиты кроме как грамотные юзеры

(15) от этого есть изолированная от инета локалка

(14) Ну это уже другой вопрос, не касающийся RDP.
VPN штука полезная, и иногда без нее никак, но конкретно для RDP ее городить не обязательно.

да, порт другой, торчит конечно наружу, но пароль надежный и учетка блочится, если 7 раз неправильно набрали пароль, сервер не основной, думал насчет впн, но пока вроде за 10 лет и так нет проблем.
К сожалению в отказе доступа не видно инфы по IP:
Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    Код входа:        0x0

Тип входа:            3

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        СПА
    Домен учетной записи:        

Сведения об ошибке:
    Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
    Состояние:            0xC000006D
    Подсостояние:        0xC0000064

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x0
    Имя процесса вызывающей стороны:    -

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Сведения о проверке подлинности:
    Процесс входа:        NtLmSsp
    Пакет проверки подлинности:    NTLM
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.

(18) А у вас точно включено - Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети» ?

Диспечер задач-производительность-монитор ресурсов-сеть
Процес termsvcs в удаленных адресах находиш левый и блокируеш подсеть

Cyberarms Intrusion Detection Admin в демо режиме блокирует по одному ип в сутки. При многочисленных отказах, но надо внутренние компы с левыми запросами на сервак не ломились, доступы к левам шарам, компы не в домене и т.п.

ставишь примитивную бесплатную ids https://cyberarms.net/media/1022/cyberarmsintrusiondetectionsetupx64_220.zip
, настраиваешь политики, доверенные ip, и все китайские подборщики идут в баню

(21) она теперь бесплатная и крякать не надо

(20) А как узнать что он левый?

Если есть возможность отличать левые от нелевых - тогда разрешить вход только  с указанных IP.

(22)Что это за шняга? Чего делает, то?
Политики и доверенные IP и в винде неплохо настраиваеются - нафига левый софт?

Ограничить количество разрешенных ошибочных попыток входа.
    (Если ты не пьян — то 3х раз тебе хватит, чтобы понять, что клавиатура не на том языке и не на том регистре.)
    Ограничить время для этих 3х попыток.
    (Можно ведь, 3 раза за неделю, а можно — 3 раза в секунду, да еще и многопоточно. И потому, как никто из кулхацкеров не тычет в клавиатуру одним пальцем долго выбирая букву, то там идет приличный трафик, который за 10 минут, которые определили разработчики успеет перебрать несколько сотен, пару тысяч комбинаций.)
    Установить время блокировки для входа в случае, если ты пьян, или если — ты — это не ты.
    (По умолчанию — 3 минуты ни кого не огорчат. Выставим пол-часа. Пусть устанут ждать.)

политика то настроена на блоч, хочется узнать с каких айпишников ломятся с такими стремными логинами, ограничивать по айпи не вариант, сотрудники отдыхать в турцию едут и т.п.  Вопрос почему в винде айпи удаленного компа не видно.

(27) хотя бы чтоб заблочить эти IP

(27) "почему в винде айпи удаленного компа не видно"
Патамучта на комп внутри локалки заходит маршрутизатор. Вот он знает за IP удаленного. Нужно смотреть логи файрвола маршрутизатора. Какие IP в это время ломились в локалку по порту RDP. Только ничего оно тебе не даст. Тысячи их.

дополнительно отключите в фаейрволе возможность пинговать ваш IP (ICMP трафик)

(27) Сервер за NAT'ом роутера.

Кажись считающие что RDP наружу с хорошими паролями и блокировщиками учеток никогда не встречались с проблеммой в реальности :)
Никто не напомнил что при входе по рдп происходит полная инициализация сеанса и когда начинают настойчиво подбирать этих сеансов может несколько сотен возникать, да они быстро убиваются но тут же появляются новые. Вплоть до полного отказа системы.

(0) на фейволе поставь с каких IP можно соединятся,забей диапазон IP провайдеров с которых пользователи соединяются.Вероятность что долбоящер с реального IP разрешенного провайдера долбится будет низка

(29) 2003 сервер в той же ситуации пишет ип в лог.

(0) А что командная строка уже не в почте , netstat -a  и т.д. Настрой Брандмауер на подключение диапазона IP которые подрубаются твои юзеры.

(35) не в почете*

(35) И сидеть ждать когда боты начнут ломиться? Это уж совсем админу нечего делать если.

(24) Не подключенные сеансы светятся серым. Пробить ИП откуда он и забанить если левый. Просто банишь непонравившиеся и смотришь пропал поток подбора паролей или не. если нет разбраниваешь.

(37) Это для белых адресов. Если внешних юзеров мало то тот кто не смог подключиться звонит админу и тот узнав ИП вносит его в белый список.

(32) Есть такая штука - проверка подлинности на уровне сети.
Выполняется  до инициализации сеанса.

Если ее выключить - да можно заддосить систему до полного отказа множественными подключениями.

Поэтому все дело лишь в грамотной настройке RDP.

(37) Нечего не надо сидеть ждать. Увеличил немного попытки блокировки и сразу молодец окажется в списке. Диапазон пошел в список брандмауэра . Делов на 20-30 минут

(38), (39) Шутите?
Десятки подключений пользователей, плюс сотни попыток подбора - и вы прелагаете админу дежурить и контролировать это в режиме реального времени?

Обычно если ограничивают по IP - позвонили админу, он в течении суток внес IP в список разрешенных.

(41)Не понял про какой список идет речь?
нетстат покажет кто ломится.
А дальше что?

(43) Если грамотный админ ему не нужны всякие чудо проги и т.д. все сделает из консоли . А дальше анализ и как вы сами сказали в (40) грамотная настройка RDP и фаера.

круче чем эта sd карты не встречал, просто бомба
https://www.yarkiy.ru/goods/14076-sdxc-64gb-sony-class10-uhs-1-sf64uxt-94mbs
из usb взял бы опять sony
USB-флешка SONY MicroVault Entry 64Gb Black (USM64X/B)

(45) сорян перепутал окошко...

(42) К челу сейчас ломится и он не может заблокировать судя из вопроса и возникновения темы не может у него быть десятки внешних подключений. Я предложил как за 5-10 минут сейчас можно увидеть сволочь и заблокировать, а дальше спокойно читать и настраивать систему.

(44)Ну а завтра другой ломиться будет? Неужто каждого отслеживать.
Проще настроить нормально и нехай они ломятся - не жалко.