Установка и настройка IPBan на Windows Server 2019

 

 

 

IPBan — бесплатная утилита для защиты Windows-серверов от атак перебором паролей (brute force). Она автоматически блокирует IP-адреса, с которых происходят подозрительные попытки входа.

---

Шаг 1. Включение аудита событий входа

Для корректной работы IPBan необходимо, чтобы в журнале безопасности Windows фиксировались события входа с IP-адресами.

1. Нажмите Win + R, введите:

   secpol.msc
   

   и нажмите Enter — откроется оснастка «Локальная политика безопасности».

2. Перейдите в раздел:

   Локальные политики → Политика аудита
   

3. Найдите и дважды щёлкните по политикам:

   • Аудит входа в систему
   • Аудит событий входа в систему

4. Отметьте галочками обе опции:

   • Успех
   • Отказ

5. Нажмите ОК для сохранения.

6. Для применения изменений можно перезагрузить сервер или выполнить в командной строке с правами администратора:

   gpupdate /force
   

---

Шаг 2. Скачивание IPBan

1. Перейдите на официальный репозиторий IPBan на GitHub:
   https://github.com/DigitalRuby/IPBan

2. Откройте раздел Releases:
   https://github.com/DigitalRuby/IPBan/releases

3. Скачайте последний стабильный релиз, например файл:
   IPBan-Windows-x64_3_1_0.zip

---

Шаг 3. Распаковка и подготовка

1. Распакуйте скачанный архив в удобное место, например:
   C:\IPBan\

2. В папке с программой вы увидите файлы:

• DigitalRuby.IPBan.exe — исполняемый файл службы
• ipban.config — файл конфигурации
• другие вспомогательные файлы

---

Шаг 4. Настройка конфигурации

1. Откройте файл ipban.config в текстовом редакторе (например, Блокнот).

2. Основные параметры для настройки:

• BanTimeSeconds — время блокировки IP в секундах (например, 3600 = 1 час)
• FailedLoginAttemptsBeforeBan — количество неудачных попыток входа до блокировки
• Whitelist — список IP или подсетей, которые не блокируются
• Blacklist — список IP или подсетей, которые всегда блокируются
• EmailNotification — настройки уведомлений по email (опционально)

Пример конфигурации:

<IPBanConfig>
  <BanTimeSeconds>3600</BanTimeSeconds>
  <FailedLoginAttemptsBeforeBan>5</FailedLoginAttemptsBeforeBan>
  <Whitelist>
    <IP>192.168.1.0/24</IP>
  </Whitelist>
  <Blacklist>
    <IP>10.0.0.1</IP>
  </Blacklist>
</IPBanConfig>

3. Важно: стандартной конфигурации, поставляемой вместе с IPBan, достаточно для большинства случаев. Если у вас нет специфических требований, можно использовать файл без изменений.

---

Шаг 5. Установка службы IPBan

1. Запустите Командную строку от имени администратора:

• Нажмите Пуск, введите cmd
• Щёлкните правой кнопкой мыши по Командная строка и выберите Запуск от имени администратора

2. В командной строке перейдите в папку, куда распаковали IPBan (например):

cd C:\IPBan

3. Создайте службу командой:

sc.exe create IPBAN type= own start= delayed-auto binPath= "C:\IPBan\DigitalRuby.IPBan.exe" DisplayName= "IPBAN"

Что делает эта команда:

• sc.exe create IPBAN — создаёт службу с именем IPBAN
• type= own — служба запускается в собственном процессе
• start= delayed-auto — автоматический запуск службы с задержкой после загрузки Windows
• binPath= "C:\IPBan\DigitalRuby.IPBan.exe" — полный путь к исполняемому файлу службы
• DisplayName= "IPBAN" — отображаемое имя службы в списке служб Windows

4. Запустите службу:

net start IPBAN

---

Шаг 6. Проверка работы и управление заблокированными IP

1. Откройте Просмотр событий Windows:
   Пуск → Просмотр событий → Журналы Windows → Приложение
   Здесь отображаются записи от IPBan — информация о заблокированных IP и других событиях.

2. Для просмотра и управления заблокированными IP используйте оснастку Брандмауэр Windows с расширенной безопасностью:

• Нажмите Пуск, введите wf.msc и нажмите Enter — откроется оснастка файервола.
• В левой панели выберите раздел Правила для входящих подключений.
• Найдите правило с именем IPBan_Block_0 — в нём перечислены IP-адреса, которые IPBan заблокировал.
• Чтобы удалить или добавить IP-адрес в список блокировки, откройте свойства этого правила, перейдите на вкладку Область и отредактируйте список заблокированных IP в разделе Удалённые IP-адреса.

3. Кроме того, IPBan создаёт правила:

• IPBan_EmergingThreats_0 и
• IPBan_EmergingThreats_1000

В них содержатся общеизвестные IP-адреса, с которых часто происходят попытки взлома. Эти правила автоматически применяются для дополнительной защиты.

---

Дополнительно: управление службой

• Остановить службу:

net stop IPBAN

• Удалить службу:

sc.exe delete IPBAN

---

Итоги

• Включили аудит событий входа для записи IP-адресов
• Скачали и распаковали IPBan
• Настроили ipban.config под свои нужды (или оставили стандартный)
• Создали службу через sc.exe create с правильными параметрами
• Запустили и проверили работу службы
• Управляете заблокированными IP через оснастку файервола Windows

 

 

 

 

 

---

---