Освободился

А напомните сетап.

Что и как у вас перебирают?
- через IIS OWA и т.д. ?
- или где-то открыт RDP в мир и прочее?

ATA +atp, если не гос компания и небольшое количество серверов, то по цене нормально получается

На контроллерах есть много событий вот таких:
The computer attempted to validate the credentials for an account.

Authentication Package:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  ADMINISTRATOR
Source Workstation:  
Error Code:  0xC000006A

Для разных учёток. Есть несколько RDG открытых для внешки, OWA и ещё один сервер, который не в моей зоне и точно не знаю что именно там крутится, но он точно открыт снаружи.

Вчера я смотрел логи, получилась вот такая статистика

сек

Я понимаю так что RDP открыт в мир ,через RDGW

Вот такая

Да. Причём доступ RDP по группам, на разные серверы и рабочие станции.

ну варианта 3 тогда... 1.ставить IPS 2. Ставить IPBAN\RDP GUARD  у меня оба работают... 3.отказаться от публикации RDP , и доступ через VPN

'Есть несколько RDG открытых для внешки'
Кто принял решение открывать этот бардак в мир без vpn ???

Сделайте нормально уже
- vpn + 2fa
- потом уже RDP

В таком сценарии останется разобраться с подбором через OWA, но это уже другое.

Второй вариант подходит. Я просто хотел убедиться что IPBAN/GUARD работают со шлюзом

не все могут VPN+2fa  и в крупной конторе это долго ,сложно и затратно

ИБ, но я не могу просто взять и продавить 2FA, на это никто не пойдет. Сейчас хочу только в своей зоне сделать насколько возможно безопаснее

ну а простой впн - все могут??
это как бы основы)

а чего не работают.. у одного и другого скрипты + лочат на основе Firewall  виндового... тупо автоматизируют добавку ip откуда ломятся по неким правилам в правило deny

не все... для многих связка Win+ VPN  сервер - это проблема.... я не про Дмитрия сейчас, а вообще ... я бегаю по шабашкам переодически ... в большинстве даже ECP выкидывают во внешний мир

ну я сейчас не про шабашки конечно говорил

А я про общую ситуацию... конечно по феншую VPN+2fa

Просто я не понял как именно они отслеживают адреса. Вот ради интереса полез сам смотреть логи безопасности на RDG, там вообще ни одного IP не увидел. IP сессий можно получить через
Get-WmiObject -class "Win32_TSGatewayConnection" -namespace "root\cimv2\TerminalServices" -ComputerName RDG -Authentication 6

Но это уже адреса активных сессий, они получается проверку прошли

А VPN безопаснее, чем RDG? Недавно в чате говорили что без 2FA это всё на одном уровне примерно

отслеживается по ивентам... ты говоришь например RDP Guard  10 попытов с 1 ip не успешных .. это перебор .. в бан лист