Firewall de Windows: ¿una forma sencilla de bloquear una dirección IP que está escaneando? El usuario sigue siendo bloqueado

1

Estoy usando Windows Server 2008 - completamente parcheado.

Una de mis cuentas de usuario sigue siendo bloqueada. Es bastante fácil desbloquearlo, pero ocurre con una frecuencia cada vez mayor, y el usuario no ingresa contraseñas incorrectas.

Revisé el registro de seguridad y veo intentos de escanear desde una dirección IP específica. Me gustaría bloquear toda la actividad de esta dirección IP. es fácil de hacer? No tengo acceso físico al servidor, por lo que no me atrevo a experimentar con la configuración de una regla que pueda bloquear accidentalmente mi acceso.

También espero poder rastrear la actividad específica que está causando que este usuario se bloquee. ¿No hay un evento que pueda buscar cuando la cuenta se bloquea? No lo veo, y esta exploración que mencioné anteriormente puede no estar relacionada con el bloqueo, ya que estos "inicios de sesión fallidos" no son para el mismo usuario que el usuario que se bloqueó. Hemos estado observando los registros mientras ocurre el bloqueo, pero aún no hay pistas.

aSkywalker
fuente
¿Hay alguna aplicación automatizada que use las credenciales de estos usuarios que intentan autenticarse utilizando la contraseña anterior o las credenciales caducadas?
music2myear
No, nada que se esté ejecutando para ese usuario. Pensé que las unidades de red mapeadas podrían estar intentando reconectarse, pero ninguna.
aSkywalker
Hay malware en el sistema, el firewall de Windows bloquea todas las conexiones entrantes no solicitadas de forma predeterminada.
Moab

Respuestas:

1

En Windows 7 (espero que esto sea igual o similar para Server 2008), puede crear reglas personalizadas en el "Firewall de Windows con seguridad avanzada".

En la sección Reglas de entrada, cree una regla personalizada que se aplique a todos los programas, a todos los puertos y luego elija su dirección IP.

Puedes ver este sitio para más información.

Matthew Steeples
fuente
2
He hecho esto y todavía hay tráfico en esa IP. : /
marines