Salve,
l'azienda per cui lavoro ha un server con windows server 2008 r2 ospitato presso il nostro provider e collegato direttamente alla rete internet. Questo server deve essere raggiunto dall'esterno tramite connessione terminal server per necessità del cliente. Ho notato monitorando il registro degli eventi che sono iniziate sin da subito una quantità considerevole di tentativi di accesso. Ho creato una regola per bloccare gli indirizzi ip incriminati, solo che devo aggiornarla manualmente ogni volta controllando il registro degli eventi. è possibile automatizzare in qualche modo questa operazione ? (vbscript, powershell, criteri di sicurezza, etc...).
Avete anche qualche altro consiglio per mettere il più possibile in sicurezza il server ?
Note:
utilizzo il firewall integrato di windows bloccando tutto eccetto il protocollo RDP (ne ping ne icmp ne altro).
Le password impostate sono molto robuste.
l'evento che controllo io manualmente è il 4265 nel registro sicurezza, verifico da quale ip viene fatto il tentativo e lo metto in blocco in una regola delle connessioni in entrata.
Ringrazio in anticipo,
in attesa di eventuali risposte.