Eintrag aus Ereignisanzeige (winServer 2008 R2) auslesen, und gemeldete IP in Firewall blacklisten

    Hey Dudes,

    Leider musste ich feststellen, dass irgend ein Wi***** versucht, sich auf meinem Server per RDP einzuloggen. Immer und immer wieder.
    Das konnte ich aus einem Ereignis-Protokoll herauslesen.

    Der gibt ständig irgendwelche nicht vorhandenen Benutzernamen an wie "Admin, Administrator, Admin1, support_30024, bla bla bla"
    Jetzt such ich nach einer Möglichkeit, die IP bei einem gescheiterten Anmeldeversuch zu blockieren.
    Diese gibt ja das Ereignisprotokoll wieder.

    Es gibt die Möglichkeit, dass ich dieser Ereignis-ID ein Programm/Skript zuweisen kann, dass dann startet, wenn eine erfolglose Anmeldung entdeckt wird.
    Leider ist diese Win-Version eine "Web Edition", inder mir nur 2 Serverrollen zur Verfügung stehen (IIS-Server und DNS-Server), die mir überhaupt nicht bei diesem Problem weiterhelfen.

    Was ich brauch ist:
    a) die Möglichkeit mittels AutoIt diese Protokolle ausfindig zu machen und auszulesen und
    b) die registrierte IP in der Firewall zu blacklisten

    Ist das überhaupt machbar? Oder habt ihr andere Möglichkeiten mit der sich eine IP-Sperre einrichten lässt?

    Grüße vom Lottich

    Das man die Web-Edition nicht ohne vorgeschaltete Firewall ins Web gehen lässt ist ja normal. Von daher beschränke in der davor liegenden Firewall einfach den Zugang via RDP auf das interen Netz und gut ist.

    Andy hat mir ein Schnitzel gebacken aber da war ein Raupi drauf und bevor Oscar das Bugfixen konnte kam Alina und gab mir ein AspirinJunkie.

    Zitat von M3d1c5

    Vermutlich will Lottich aber auch selbst über das öffentliche Netz mit wechselnden Client IP Adressen per RDP auf den Server zugreifen.

    Wenn es das will sollte er den Server am besten gleich abstellen, weil er dann nicht weiß was das bei der "Web Edition" bedeutet.

    Andy hat mir ein Schnitzel gebacken aber da war ein Raupi drauf und bevor Oscar das Bugfixen konnte kam Alina und gab mir ein AspirinJunkie.

    Zitat von M3d1c5

    Ich lese nirgendwo etwas von „Web Edition“, das hast zuerst Du in diesen Thread eingebracht.

    Schöne Grüße
    M3d1c5

    Zitat von Lottich

    Es gibt die Möglichkeit, dass ich dieser Ereignis-ID ein Programm/Skript zuweisen kann, dass dann startet, wenn eine erfolglose Anmeldung entdeckt wird.Leider ist diese Win-Version eine "Web Edition", inder mir nur 2 Serverrollen zur Verfügung stehen (IIS-Server und DNS-Server), die mir überhaupt nicht bei diesem Problem weiterhelfen.


    Ehm.. Nun ja, lern lesen, M3d1c5 ;)

    Lottich: Hast du schon mal gegooglt? ^^
    Vielleicht gibt es eine Art Erweiterung von Microsoft's Seite :D

    Mfg

    There's a joke that C has the speed and efficieny of assembly language combined with readability of....assembly language. In other words, it's just a glorified assembly language. - Teh Interwebz

    C makes it easy to shoot yourself in the foot; C++ makes it harder, but when you do, you blow off your whole leg. - Bjarne Stroustrup
    Genie zu sein, bedeutet für mich, alles zu tun, was ich will. - Klaus Kinski

    Zitat von Lottich

    Es gibt die Möglichkeit, dass ich dieser Ereignis-ID ein Programm/Skript zuweisen kann, dass dann startet, wenn eine erfolglose Anmeldung entdeckt wird.
    Leider ist diese Win-Version eine "Web Edition", inder mir nur 2 Serverrollen zur Verfügung stehen (IIS-Server und DNS-Server), die mir überhaupt nicht bei diesem Problem weiterhelfen.


    Ich habs im Startpost bereits erwähnt xD

    Den von Medics geposteten Link werd ich mir mal näher anschauen.
    Auch überlege ich mir grad, mir wo anders nen Server zu zu legen. Hab schon ein Angebot gefunden mit Win "Data Center". Und preislich nimmt sich das gar nix, dürfte sogar 1€ und 1Cent gutmachen :)
    Aber erstmal testen... Aktuell hab ich nen "richtigen" ROOT, der andere wäre aber was virtuelles. vCores und vRAM....
    Hab damit noch keine Erfahrung wie das unter "Stress" läuft und überhaupt.

    Und Medics hat auch recht, dass ich mich dann gleich selber ausgeschlossen hätte wenn ich RDP deaktiviert hätte.
    Aber aus Erfahrungen lernt man ja, also werde ich mal verschiedene Methoden ausprobieren, wie ich meinen Server managen/händeln kann.

    Lottich :D


    Nachtrag:
    @TheShadow:
    Ich hab mich bereits bei MS durchgekämpft, aber ne Möglichkeit Rollen nachzuinstallieren hab ich nirgends gefunden.