Перейти к основному контенту

Защита от блокировки администратора при брут-форсе Windows Server

 

Введение

Удалённые серверы с открытым RDP практически всегда находятся под постоянным «шумом», автоматические сканеры и боты перебирают пароли круглосуточно. Даже если используется сложный пароль, сами попытки входа могут создать проблему.

В 2023 году Microsoft ввела новую политику для Windows Server, теперь по умолчанию активируется механизм блокировки учётной записи администратора: при 10 неверных попытках входа в течение 10 минут аккаунт временно блокируется.

На выделенных серверах со статическим IP это может привести к неприятной ситуации - доступ к системе будет потерян не из-за взлома, а из-за фоновых попыток перебора.

Инструкция

Способ 1. Изменение через локальную политику безопасности

Откройте Server Manager.

изображение.png

Перейдите в Tools (Инструменты).

изображение.png

Выберите Local Security Policy (Локальная политика безопасности).

изображение.png

Откройте раздел: Account Policies и выберите Account Lockout Policy.

изображение.png

Найдите параметр Account lockout threshold и установите значение: 0

изображение.png

Можно установить большее число (например, 20–30), чтобы смягчить ограничения.

При установке 0 связанные параметры (время блокировки и сброс счётчика) автоматически деактивируются.

изображение.png

Способ 2. Быстрое отключение через командную строку

Если нет желания заходить искать настройки в интерфейсе, то можно выполнить одну команду в терминале:

net accounts /lockoutthreshold:0

изображение.png

Также этой командой можно увеличивать количество попыток:

изображение.png

Выполняйте команду с правами Администратора!

После этого система сразу отключит блокировку по количеству попыток входа.

Чтобы проверить текущие параметры:

net accounts

изображение.png

Стоит ли полностью отключать блокировку?

Полное отключение удобно, но снижает уровень защиты. Вместо этого можно использовать более безопасную стратегию:

  • Ограничить RDP-доступ по IP через брандмауэр
  • Разрешить подключение только через VPN
  • Сменить стандартный порт RDP
  • Переименовать встроенную учётную запись Administrator
  • Использовать сложные пароли или двухфакторную аутентификацию
  • Настроить защиту через Windows Firewall с правилами по странам/IP

В идеале сервер вообще не должен иметь открытый RDP в интернет.

Заключение

Мы изменили параметры блокировки учётной записи в Windows Server, и теперь сервер снова доступен для стабильной работы без риска случайной самоблокировки.

Можно продолжать администрирование в обычном режиме, но не забывайте регулярно проверять настройки безопасности, контролировать доступ к RDP и отслеживать попытки входа.


Наверх