Eines Tages habe ich das Ereignisprotokoll für einen unserer Kunden durchgearbeitet, da die Leistung während der RDP-Verbindung eingeschränkt war. Das Ereignisprotokoll, das ich gerade überprüfte, war das des Office-PCs, mit dem sich der Benutzer von zu Hause aus verbindet. Es gab keine Probleme mit dem Gerät. Ich konnte jedoch feststellen, dass die Verbindung zum RDP durch eine Vielzahl von IP-Adressen getrennt wurde, die keinem der im Besitz des Büros befindlichen Maschinen gehörten. Wir sind gerade dabei, einen benutzerdefinierten Port zu erstellen, nachdem wir einen Sonicwall TZ300 installiert haben, anstatt den Standard-Open-Port 3389 für RDP zu verwenden. Eine der anderen Bestimmungen, die ich in Betracht ziehen wollte, war das Implementieren einer Kontosperrungsrichtlinie, aber ich bin neugierig, ob dies den ursprünglichen Benutzer sperren würde. Hoffentlich war das informativ genug.
Ja, da dies pro Benutzer angewendet wird, wie in, wird das Konto gesperrt, wenn der Schwellenwert für die Sperrung erreicht wird, auf den Sie es festgelegt haben.
Nebenbei sollten Sie zu anderen sichereren Wegen des EPLR übergehen. Das Ändern des Standard-RDP-Ports ist nur Sicherheit durch Unklarheit (vorausgesetzt, dies ist tatsächlich Ihr Ziel).
Erstens: Die Kontosperrungsrichtlinie gilt nur für den zeichenfolgenbasierten Wert, der für den Benutzernamen angegeben wird. Wenn bei den anderen Verbindungsversuchen derselbe Benutzername angegeben wird, wird ja ein Denial-of-Service für dieses Benutzerkonto erstellt. Vorausgesetzt, es handelt sich nicht um einen vom Terminaldienst lizenzierten Computer, unterstützt der Server nur zwei gleichzeitige Verbindungen, bevor er andere Benutzer startet - legitim oder anderweitig.
Zweitens: Wenn dieses Gerät direkt mit dem Internet verbunden ist, ist dies ein großes Sicherheitsfoul. Sie werden wahrscheinlich von einem Brute-Force-Angriff getroffen, der versucht, eine Kombination aus Benutzername und Kennwort zu finden, um in das System einzudringen. Sie können anhand des Sicherheitsprotokolls feststellen, welche Benutzernamen bereitgestellt werden. Wenn sie zufällig sind, werden Sie höchstwahrscheinlich angegriffen.
Drittens: Während @happy_soil richtig ist, dass das Ändern des RDP-Ports nur die meisten Angreifer zum Anhalten bringt, ist die Tatsache, dass ein Server direkt mit dem Internet verbunden ist, das Problem. Sie müssen zu einem sichereren Remote-Konnektivitätsmechanismus wechseln (z. B. einem VPN). Sobald ein Remote-Benutzer verbunden ist, kann er über einen verschlüsselten IPSEC-Tunnel auf das Netzwerk zugreifen, um Netzwerkzugriff zu erhalten. Aber auch das hat seine Mängel (der Heimcomputer des Benutzers ist mit Malware infiziert und verbindet sich mit dem VPN von Unternehmen und infiziert die Corp von zu Hause) - aber es ist auf jeden Fall besser als die direkte Verbindung eines Servers über das Internet.