Windows Server でブルートフォース攻撃をブロックする方法

ほとんどのネットワーク管理者または基本的なサーバーセキュリティの専門家は、RDP またはリモートデスクトッププロトコルポートをインターネットに開放したままにするか、弱いパスワードを使用すると、ネットワークがサイバー攻撃を受けやすくなることを知っています。この投稿では、そのようなヒントについて説明し、Windows Serverでブルートフォース攻撃をブロックする方法を確認します。

ブルートフォース攻撃とは何ですか?

ブルートフォース攻撃は基本的に試行錯誤の方法で機能し、最も洗練されていないハッキング手法の 1 つです。これにより、ハッカーはパスワードを推測するために数多くの試行を行い、最終的には正しいパスワードを見つけます。 しかし、これは映画で見るハッキング手法よりも危険ではありません。多くのハッカーがあなたのパスワードを推測しようとしていることを考えてみてください。したがって、パスワードが弱い場合や、これらの攻撃をブロックするための措置を講じていない場合は、データの盗難、ネットワークへのアクセスの喪失などの被害を受けやすくなります。

Windows Server でブルートフォース攻撃をブロックする

Windows Server でブルートフォース攻撃を防ぐかブロックしたい場合は、次のヒントが役立ちます。

1. 強力なパスワードを使用する
2. ログインの失敗回数を制限する
3. ルートアカウントを保護する
4. ポートを変更する
5. CAPTCHA を有効にする
6. 2 要素認証を使用する
7. EvlWatcher をインストールする

それらについて詳しく説明しましょう。

1] 強力なパスワードを使用する

まず第一に、アカウントを設定するときは、強力なパスワードを使用していることを確認する必要があります。これは非常にわかりやすいことです。攻撃者がパスワードを推測しようとしている場合は、ユーザー名やパスワードについての手がかりを与えないでください。ユーザー名にはパスワードに関する手がかりが含まれていないことを確認する必要があります。パスワードは、あなた自身や、公開されている企業に関する情報に関連付けるべきではありません。

2] ログインの失敗回数を制限する

ブルートフォース攻撃がどのように機能するかをすでに知っているかもしれません。したがって、多くの失敗が発生します。ログインの失敗回数を制限すると、攻撃が成功しないことを確信できます。

「段階的な遅延によるアカウントロックアウト」機能を展開することもできます。この方法では、一定期間、一定回数失敗するとアカウントがロックされるため、ネットワーク管理者の負担が軽減されます。

3] ルートアカウントを保護する

物理または仮想ネットワークのルートアカウントは、非常に重要です。チェスゲームの王のようなものです。アクセスできないようにする必要があります。これを行うには、sshd_config ファイルを構成し、「DenyUsers root」と「PermitRootLogin no」オプションを設定します。

4] ポートを変更する

攻撃者は標準ポートであるポート番号 22 を攻撃しようとする場合がほとんどです。したがって、SSHD を実行するポートを変更する必要があります。これを行うには、sshd_config ファイルに移動し、非標準ポートを使用します。

続きを読む: パスワードスプレー攻撃の定義と自己防衛

5] CAPTCHA を有効にする

ブルートフォース攻撃は、CAPTCHA を使用することで防止できます。これは、攻撃がロボットまたは AI によって実行されている場合に、プロセスを遅らせたり、完全に停止したりする素晴らしい方法です。場合によっては、攻撃者はツールを使用して CAPTCHA を突破します。ただし、すべての攻撃者がこのツールを備えているわけではないため、この機能を構成する必要があります。ただし、CAPTCHA は本当にユーザーフレンドリーではなく、ユーザーエクスペリエンスを損なう可能性があることに注意してください。

6] 2 要素認証を使用する

Google や Microsoft などの多くの大きな企業は、2 要素認証を使用してサーバーをさまざまな攻撃から保護しており、ブルートフォース攻撃もその 1 つです。このセキュリティ対策を採用してサーバーを保護することもできます。

7] EvlWatcher をインストールする

EvlWatcher はブルートフォース攻撃を阻止するための優れたツールです。サーバーログを監視し、特定の IP または IP で失敗した試行回数があるかどうかを確認します。その後、その IP を 2 時間ブロックして、攻撃のペースを遅くします。例外を設定したり、ブロック時間を増やしたり減らしたりしたい場合は、アプリケーションを構成することもできます。EvlWatcher は github.com からダウンロードできます。

更新: 新しい管理者アカウントのロックアウトを許可するポリシー設定は、組み込みの管理者アカウントがアカウントロックアウトポリシーの対象になるかどうかを決定します。ブルートフォース攻撃は、今日、Windows マシンが攻撃される上位 3 つの方法の 1 つです。Microsoft は、さらなるブルートフォース攻撃や試行を防ぐために、管理者アカウントのアカウントロックアウトを実装し始めました。したがって、Windows 11 には RDP やその他のブルートフォースパスワードベクトルを軽減するためのデフォルトのアカウントロックアウトポリシーが追加されました。

サーバーがブルートフォース攻撃を受けているかどうかを知るにはどうすればよいですか?

コンピューターがブルートフォース攻撃を受けているかどうかを知りたい場合は、サーバーログを確認する必要があります。失敗した試行が多数表示されている場合は、ブルートフォース攻撃を受けています。 特定の期間内に単一の IP アドレスまたは複数の IP から多くの失敗した試行がある場合は、すぐにクライアント IP を確認し、それらの IP が攻撃者のものであると結論付けた場合はブロックする必要があります。

ブルートフォース攻撃を防ぐことはできますか?

ブルートフォース攻撃はある程度防ぐことができます。そのためには、心に留めておくべきことがいくつかあります。たとえば、非常に強力なパスワードを使用し、ログインの失敗回数を制限し、ルートアカウントを保護し、ポートを変更し、CAPTCHA を有効にする必要があります。それとは別に、2 要素認証を使用してセキュリティを強化することもできます。

この記事が役に立つことを願っています。