- Erkennung eines Angriff
- Einrichtung einer Firewall Regel
- Kontrolle der Wirkung der Gegenmaßname
1. Erkennung eines Angriff
2. Einrichtung einer Firewall Regel
im der Suche geben wir Lokale Sicherheitsrichtlinie ein
Wir Navigieren zu Eingehende Regeln
Mit Rechtsklick erstellen wir eine neue Regel und Wählen den Punkt Benutzerdefiniert
Als nächstet wählen wir Alle Programme
Im nächsten Schritt Wählen wir das Protokoll TCP, Lokaler Port Bestimmte Ports mit dem Wert 3389
Im Bereich fügen wir die IP-Adresse oder ein Netz ein. Da ich nicht alle IP-Adresse eintragen möchte bin ich dazu übergegangen ganze Netze zu Sperren. Das /24 gibt die Größe des Netz an.
In diesem Fall /24 werden alle IP Adressen zwischen
91.240.118.0 und 91.240.118.255 gesperrt (255 Adressen gesperrt )
bei einem /16 Netz erhöh ich den wert der Sperrung
91.240.0.0 und 91.240.255.255 gesperrt (255 * 255 Adressen gesperrt)
Adressen die Ich gesoert habe
Achtung: Prüft eure eigene IP Adresse, nicht das Ihr euch versehentlich selber aussperrt für den Port 3389
Bei der Aktion wollen wir natürlich die Verbindung blockieren
Bei dem Profil würde ich die Regel auf alle Umgeben (Domäne/Privat/Öffentlich) anwenden.
Auch wenn Ihr mehrere Netzwerkarten habt und die Netzwerkkarten unterscheidet, tut euch die Regel nicht weh.
Jetzt vergeben wir der Regel noch einen Namen und fertig ist die Regel
Wenn Ihr viele Regel schreiben wollt verschwendete ein paar Gedanken an einen Namekonzept.
Bei mir habe ich das wie folgt umgesetzt :
Funktion-Protokoll-Port-Aktion (RDP-TCP-3389-Blockt)
fertig für ein Netzt oder Adresse
Mit einen Rechtklick könnt ihr die Regel bearbeiten und die netzte eintragen die euch Angreifen.
Achtung: die Regel wirkt nicht sofort, ich könnt die Regel anwenden wen ich in einer Eingabeaufforderung folgenden Befehl eingibt oder den PC neu startet.
gpupdate /force
INFO: Es ist auch möglich wenn Ihr in einer Domäne Arbeitet das über eine GPO zu verteilen und das nicht auf jedem PC zu erstellen