The original guide is in Italian. Translation is handled directly in the browser.
Guida Utente — Ermes Server Guard
1. Cos’è Ermes Server Guard
Ermes Server Guard è un software per server Windows progettato per aiutare l’utente a monitorare connessioni sospette, tentativi di attacco e attività anomale, con possibilità di blocco tramite Windows Firewall.
Il programma può essere usato per diversi tipi di server, ad esempio:
server web;
server RDP / desktop remoto;
server database;
server game;
server misti con più servizi attivi.
Ermes Server Guard non sostituisce il firewall del datacenter, un servizio anti-DDoS professionale o una corretta configurazione del server. Il suo obiettivo è migliorare il controllo locale del server, rilevare comportamenti sospetti e applicare blocchi automatici o manuali quando configurato correttamente.
2. Cosa può fare
Ermes Server Guard può aiutare a:
monitorare connessioni live verso il server;
identificare IP sospetti;
bloccare manualmente IP o subnet /24;
bloccare automaticamente IP considerati pericolosi;
rilevare tentativi di brute force RDP;
analizzare attività sospette nei log web;
controllare modifiche su file critici;
mostrare eventi di sicurezza con livello di gravità;
inviare notifiche desktop o Discord;
usare profili preimpostati in base al tipo di server;
esportare report e storico blocchi;
mantenere la protezione attiva tramite servizio Windows, se installato.
3. Limiti importanti
Ermes Server Guard non garantisce protezione totale al 100%.
In particolare:
non può fermare da solo un grande attacco DDoS volumetrico prima che raggiunga il server;
non corregge vulnerabilità presenti in siti web, CMS, plugin o software installati;
non sostituisce aggiornamenti di Windows, backup, hardening e password sicure;
non deve essere configurato con regole troppo aggressive senza test, perché potrebbe bloccare traffico legittimo.
Usalo come strumento di monitoraggio, risposta e protezione locale, insieme alle normali buone pratiche di sicurezza.
4. Requisiti prima dell’uso
Prima di usare Ermes Server Guard, verifica che:
il software venga avviato su un server Windows;
l’utente Windows abbia permessi amministratore;
Windows Firewall sia attivo e funzionante;
il server abbia accesso a Internet per licenza, aggiornamenti e notifiche;
gli IP importanti siano conosciuti prima di attivare blocchi aggressivi.
Esempi di IP da considerare attendibili:
IP del proprietario del server;
IP dell’amministratore;
IP del pannello di controllo;
IP del sistema di monitoraggio;
IP di backup o servizi interni.
5. Primo avvio
Avvia Ermes Server Guard come amministratore.
Al primo avvio può comparire la procedura guidata iniziale. Questa procedura serve a preparare una configurazione base senza dover modificare subito tutte le opzioni manualmente.
5.1 Diagnostica iniziale
La schermata di diagnostica controlla elementi importanti come:
stato del firewall;
disponibilità dei dati GeoIP;
permessi di scrittura nella cartella di configurazione;
avvio con privilegi amministratore;
accesso alle cartelle dati e log.
Se una voce risulta in errore, non ignorarla. Il programma potrebbe funzionare solo parzialmente.
5.2 Scelta del tipo di server
Scegli il tipo di server più vicino al tuo caso reale:
Tipo server
Quando usarlo
RDP server
Server esposto principalmente tramite Desktop Remoto
Web server
Siti web, API, pannelli, reverse proxy
Database server
SQL Server, MySQL, PostgreSQL, Redis
Game server
Server di gioco con traffico giocatori
Mixed server
Server con più servizi attivi insieme
Advanced custom
Configurazione manuale avanzata
La scelta applica un profilo reale dietro le quinte. Puoi comunque modificare le impostazioni dopo il primo avvio.
5.3 Porte prioritarie
Le porte prioritarie indicano al programma quali servizi sono più importanti per il tuo server.
Esempi comuni:
Servizio
Porte comuni
Web
80, 443, 8080, 8443
Database
1433, 3306, 5432, 6379
Game server
27015, 27016, 7777, 7778
RDP
3389 o porta RDP personalizzata
Le porte prioritarie non significano automaticamente che tutto il resto viene ignorato. Servono soprattutto per dare più importanza al traffico collegato ai servizi principali.
5.4 Whitelist iniziale
Inserisci gli IP attendibili che non devono essere trattati come sospetti.
Formato consigliato:
127.0.0.1
::1
203.0.113.10
Evita di inserire intervalli troppo grandi se non sei sicuro. Una whitelist troppo ampia può ridurre la protezione.
5.5 GeoIP
GeoIP permette di vedere paese, rete e organizzazione associati agli IP.
Se i database GeoIP sono presenti, la dashboard sarà più chiara e sarà possibile usare meglio le funzioni basate su paese o ASN. Se mancano, il programma può comunque partire, ma alcune informazioni saranno limitate.
5.6 Notifiche
Puoi abilitare:
notifiche desktop;
notifiche Discord tramite webhook.
Le notifiche desktop sono utili durante i test. Le notifiche Discord sono più adatte se il server resta monitorato senza una persona davanti alla schermata.
6. Licenza e modalità disponibili
Apri la sezione Services > Licensing.
Qui puoi:
avviare una trial di 14 giorni;
inserire e attivare una licenza Pro;
tornare alla modalità Free.
6.1 Modalità Free
La modalità Free è limitata. In generale consente il blocco manuale, ma non abilita tutte le funzioni automatiche di analisi e protezione.
6.2 Modalità Trial
La trial permette di provare le funzioni principali per un periodo limitato.
Include funzioni come:
monitoraggio base;
blocco automatico;
eventi sicurezza;
rilevamento eventi Windows;
rilevamento attacchi web;
controllo file critici;
notifiche.
6.3 Modalità Pro
La modalità Pro abilita le funzioni complete previste dalla licenza, inclusi profili avanzati, esportazione report, notifiche Discord e aggiornamenti.
7. Dashboard principale
La dashboard è la schermata principale di lavoro.
Da qui puoi:
avviare o fermare il monitoraggio;
applicare un profilo;
vedere le connessioni live;
filtrare IP, porta, paese, ASN o motivo;
bloccare IP manualmente;
sbloccare IP;
esportare dati;
aprire i log;
consultare lo storico blocchi;
controllare gli eventi di sicurezza.
7.1 Avviare il monitoraggio
Premi Start monitoring.
Quando il monitoraggio è attivo, il programma inizia a valutare il traffico e mostra gli IP nella tabella live.
7.2 Fermare il monitoraggio
Premi Stop monitoring.
Il programma smette di analizzare nuove connessioni live. Le regole firewall già applicate possono restare attive fino a sblocco manuale o automatico, in base alla configurazione.
8. Profili consigliati
La scelta del profilo è importante perché modifica soglie, porte prioritarie e comportamento del monitoraggio.
Profilo
Uso consigliato
rdp_strict
Server RDP esposti a Internet
web_balanced
Web server con traffico normale
web_aggressive
Web server sotto scansioni frequenti o attacchi leggeri
db_protected
Server con database esposti o molto sensibili
game_server
Server di gioco con traffico UDP/TCP dei player
mixed_server
Server generico con web, database e servizi vari
generic_aggressive
Ambiente sotto forte traffico sospetto, da usare con prudenza
custom
Configurazione manuale
Per la maggior parte degli utenti, il profilo migliore da cui partire è:
web_balanced per siti web;
game_server per server di gioco;
rdp_strict per server con RDP esposto;
mixed_server quando il server ospita più servizi.
Usa i profili aggressivi solo dopo aver verificato che non blocchino utenti legittimi.
9. Filtri live
I filtri live servono solo a modificare ciò che vedi nella tabella. Non cambiano automaticamente il comportamento del firewall.
Puoi filtrare per:
IP;
porta;
paese;
ASN / organizzazione;
motivo;
stato;
solo IP bloccati.
Questo è utile quando ci sono molte connessioni e vuoi analizzare solo una parte del traffico.
10. Azioni manuali sugli IP
10.1 Bloccare un IP selezionato
Seleziona una riga nella tabella live.
Premi Block selected IP.
Il programma applica una regola firewall per bloccare quell’IP.
Usalo quando sei sicuro che l’IP sia malevolo o non desiderato.
10.2 Sbloccare un IP
Seleziona l’IP bloccato.
Premi Unblock selected IP.
Usalo se un IP è stato bloccato per errore o se vuoi riabilitarlo.
10.3 Sbloccare tutto
Premi Unblock all solo se vuoi rimuovere tutti i blocchi gestiti dal programma.
Questa azione va usata con attenzione, soprattutto durante un attacco.
10.4 Bloccare una subnet /24
Il pulsante Block selected /24 blocca un’intera rete del tipo:
203.0.113.0/24
Questa funzione è più forte del blocco di un singolo IP. Usala solo quando diversi IP della stessa rete stanno generando traffico sospetto.
11. Smart Subnet Guard
Smart Subnet Guard è pensato per ridurre i falsi positivi quando si bloccano intere reti.
Il programma può promuovere un blocco a livello /24 solo quando nota più IP distinti della stessa rete già confermati come sospetti o bloccati.
Questo è utile soprattutto per server di gioco, perché un singolo giocatore con più client dallo stesso IP non dovrebbe causare automaticamente il blocco di tutta la subnet.
Impostazioni principali:
Opzione
Significato
Detection window
Finestra temporale di analisi
Min attacking IPs
Numero minimo di IP distinti nella stessa rete
Min confirmed auto-blocked IPs
Numero minimo di IP già auto-bloccati
Min suspicious score
Punteggio minimo richiesto
12. Country blacklist
La country blacklist permette di bloccare o gestire traffico in base al paese.
Usala con prudenza. Bloccare interi paesi può ridurre attacchi e scansioni, ma può anche impedire l’accesso a utenti legittimi, VPN, proxy o servizi esterni.
Per vedere i paesi bloccati usa:
Protection > View blocked countries
13. Trusted IPs e whitelist
La whitelist serve a proteggere IP attendibili dal blocco accidentale.
Apri:
Protection > Trusted IPs
Aggiungi solo IP realmente fidati, come:
IP amministratore;
IP del proprietario;
IP del sistema di backup;
IP di monitoraggio;
IP del pannello aziendale.
Non inserire IP sconosciuti e non usare subnet ampie se non sai esattamente cosa stai autorizzando.
14. Security Events
La sezione Security Events mostra eventi rilevanti per la sicurezza.
Può includere:
login falliti;
tentativi di brute force;
password spraying;
scansioni web;
attacchi web;
modifiche a file critici;
creazione o eliminazione di file monitorati;
eventi critici di sistema;
login riusciti dopo attività sospetta.
Gli eventi sono classificati per gravità:
Gravità
Significato
Low
Evento informativo o poco rischioso
Medium
Evento da controllare
High
Evento probabilmente pericoloso
Critical
Evento grave o combinazione di più segnali
Se vedi eventi High o Critical, controlla IP, porta, motivo e storico prima di decidere se bloccare o sbloccare.
15. Threat analysis engine
Il Threat Analysis Engine combina diversi segnali, ad esempio eventi Windows, web e file critici, per decidere se un comportamento è normale, sospetto o pericoloso.
Parametri principali:
Opzione
Significato
Aggregation window
Intervallo in cui gli eventi vengono combinati
Warning threshold
Soglia per avviso
Block threshold
Soglia per blocco
Critical threshold
Soglia per evento critico
Success-after-attack window
Finestra in cui un login riuscito dopo attacchi viene considerato rischioso
Non abbassare troppo le soglie se il server ha traffico elevato o molti utenti legittimi.
16. Protezione file critici
La funzione Critical file protection controlla modifiche su file importanti.
Di default può monitorare estensioni come:
.php, .exe, .dll, .json, .ini
Percorsi tipici:
C:/xampp/htdocs
C:/MuServer
C:/inetpub/wwwroot
Questa funzione crea una baseline SHA256 dei file considerati attendibili. Se un file viene modificato, creato o eliminato, il programma può generare un evento.
Quando ricreare la baseline
Ricrea la baseline quando hai fatto modifiche legittime, ad esempio:
aggiornamento del sito;
aggiornamento server game;
modifica configurazioni;
sostituzione file autorizzata.
Usa:
Advanced tools > Rebuild file integrity baseline
Non ricreare la baseline subito dopo un sospetto attacco, perché potresti rendere “attendibili” file compromessi.
17. RDP brute-force protection
Ermes Server Guard può monitorare tentativi di accesso falliti a RDP.
La porta RDP può essere:
rilevata automaticamente dal registro di Windows;
impostata manualmente se necessario.
Impostazione consigliata: lascia attivo Auto-detect RDP port from Windows registry, salvo casi particolari.
Se il server usa una porta RDP personalizzata, verifica che venga rilevata correttamente.
18. Notifiche
Apri:
Services > Notifications
Puoi attivare:
notifiche desktop;
notifiche Discord;
eventi specifici da notificare.
Eventi notificabili:
blocco automatico;
blocco manuale;
sblocco;
blocco paese;
blocco subnet;
errore firewall;
errore GeoIP;
livello minaccia alto;
web scan;
web attack;
file modificato;
file creato;
file eliminato.
Dopo aver configurato Discord, usa Test Discord per verificare che il webhook funzioni.
19. Aggiornamenti
Apri:
Services > Updates
Qui puoi:
controllare la versione disponibile;
installare un aggiornamento;
aprire l’URL della release, se presente.
Prima di aggiornare è consigliato:
esportare o annotare le configurazioni importanti;
chiudere attività non necessarie;
verificare che il server non sia in una fase critica;
riavviare il programma dopo l’aggiornamento se richiesto.
20. Log e report
Ermes Server Guard mantiene log operativi e storico eventi.
Dalla dashboard puoi usare:
Open Logs;
Open data folder;
Export TXT;
Export CSV;
Export security JSON;
Export summary report.
I report sono utili per:
controllare cosa è stato bloccato;
inviare prove al cliente o al provider;
analizzare traffico ricorrente;
confrontare eventi prima e dopo una modifica.
21. Servizio Windows in background
Se la versione installata include il servizio Windows, Ermes Server Guard può continuare a proteggere il server anche quando la GUI è minimizzata.
Il servizio è utile per server sempre online.
Quando il servizio è attivo:
il motore di protezione lavora in background;
gli eventi vengono registrati nei log;
la GUI può essere usata per controllare stato, log e configurazioni.
Se non sei sicuro che il servizio sia installato, verifica con il supporto o controlla nei servizi Windows la presenza di:
Ermes Server Guard IDS/IPS Service
22. Uso quotidiano consigliato
Ogni giorno
Controlla la dashboard live.
Verifica eventuali IP bloccati.
Controlla eventi High o Critical.
Verifica notifiche importanti.
Ogni settimana
Esporta un report se il server ha subito traffico sospetto.
Controlla se ci sono aggiornamenti.
Verifica che la whitelist sia ancora corretta.
Controlla eventuali blocchi per paese o subnet.
Dopo modifiche importanti al server
Controlla le porte prioritarie.
Aggiorna la whitelist se cambia IP amministratore.
Ricrea la baseline file solo dopo modifiche legittime.
Esegui una diagnostica.
23. Configurazione consigliata per tipo di server
23.1 Server web
Profilo consigliato:
web_balanced
Porte prioritarie:
80, 443, 8080, 8443
Abilita:
Web attack detector;
Threat analysis engine;
Critical file protection su cartelle web;
notifiche per web scan e web attack.
Usa web_aggressive solo se il server riceve molte scansioni o attacchi ripetuti.
23.2 Server RDP
Profilo consigliato:
rdp_strict
Porte prioritarie:
3389
Oppure la porta RDP reale se personalizzata.
Abilita:
RDP brute-force detection;
Windows Event Monitor;
notifiche per failed login e brute force.
Consiglio: usa password forti, limita gli IP che possono accedere a RDP e valuta una VPN.
23.3 Server database
Profilo consigliato:
db_protected
Porte prioritarie:
1433, 3306, 5432, 6379
Non esporre il database pubblicamente se non è necessario.
23.4 Server game
Profilo consigliato:
game_server
Porte prioritarie comuni:
27015, 27016, 7777, 7778
Per server game è importante non usare soglie troppo aggressive. Alcuni giochi generano molte connessioni legittime o traffico UDP intenso.
Mantieni attivo Smart Subnet Guard per ridurre il rischio di bloccare intere reti per errore.
23.5 Server misto
Profilo consigliato:
mixed_server
Porte prioritarie tipiche:
80, 443, 8080, 8443, 1433, 3306, 5432, 6379
È il profilo più adatto quando non sai ancora quale categoria descrive meglio il server.
24. Errori comuni e soluzioni
Il programma non blocca IP
Controlla:
avvio come amministratore;
Windows Firewall attivo;
licenza Trial o Pro per funzioni automatiche;
profilo applicato correttamente;
log firewall.
Vedo pochi dati nella dashboard
Controlla:
filtri live attivi;
monitoraggio avviato;
porte prioritarie impostate;
traffico reale sul server;
modalità “Blocked only”.
Un utente legittimo è stato bloccato
Cerca l’IP nello storico.
Controlla il motivo del blocco.
Sblocca l’IP.
Se è attendibile, aggiungilo alla whitelist.
Se succede spesso, alza leggermente le soglie o usa un profilo meno aggressivo.
Arrivano troppe notifiche
Vai in Services > Notifications e disattiva gli eventi meno importanti.
Il controllo file genera troppi eventi
Controlla:
percorsi monitorati;
estensioni monitorate;
cartelle ignorate;
intervallo di scansione;
baseline file integrity.
Su cartelle grandi è meglio usare un intervallo più alto per evitare carico eccessivo.
25. Buone pratiche
Avvia sempre il programma come amministratore.
Usa la whitelist prima di attivare profili aggressivi.
Parti da un profilo bilanciato.
Controlla lo storico prima di bloccare una subnet.
Non bloccare paesi interi senza motivo.
Non abbassare troppo le soglie.
Non ricreare la baseline file durante un sospetto attacco.
Mantieni Windows e i software del server aggiornati.
Usa backup regolari.
Usa password forti e, dove possibile, VPN o restrizioni IP.
26. Procedura rapida consigliata
Per un nuovo utente, la procedura più semplice è questa:
Avvia Ermes Server Guard come amministratore.
Completa il First Run Wizard.
Scegli il tipo di server corretto.
Inserisci gli IP attendibili nella whitelist.
Attiva Trial o Pro.
Premi Start monitoring.
Lascia lavorare il programma per alcuni minuti.
Controlla la dashboard live.
Verifica gli eventi sicurezza.
Attiva notifiche Discord se il server deve essere monitorato senza presenza costante.
Dopo qualche ora, valuta se il profilo è troppo leggero o troppo aggressivo.
27. Quando contattare il supporto
Contatta il supporto se:
non sai quale profilo scegliere;
il firewall non applica i blocchi;
il server blocca utenti legittimi;
vuoi configurare Ermes Server Guard per un ambiente specifico;
devi proteggere un server con traffico molto alto;
vuoi usare Discord, report o servizio Windows in modo continuativo;
hai eventi Critical e non sai come interpretarli.
Quando contatti il supporto, prepara:
versione del software;
tipo di server;
screenshot della dashboard;
esportazione report o log;
IP coinvolti;
profilo attivo;
descrizione del problema.
28. Sintesi finale
Ermes Server Guard è pensato per rendere più semplice il controllo della sicurezza su server Windows.
Il modo corretto di usarlo è:
scegliere il profilo giusto;
proteggere gli IP attendibili con whitelist;
monitorare prima di applicare regole aggressive;
usare gli eventi sicurezza per capire cosa sta succedendo;
esportare report quando serve;
mantenere sempre aggiornato il server.
Usato correttamente, Ermes Server Guard può aiutare a ridurre traffico indesiderato, bloccare IP sospetti, identificare tentativi di accesso e dare all’utente una visione più chiara della sicurezza del proprio server.
Guida Utente — Ermes Server Guard
1. Cos’è Ermes Server Guard
Ermes Server Guard è un software per server Windows progettato per aiutare l’utente a monitorare connessioni sospette, tentativi di attacco e attività anomale, con possibilità di blocco tramite Windows Firewall.
Il programma può essere usato per diversi tipi di server, ad esempio:
server web;
server RDP / desktop remoto;
server database;
server game;
server misti con più servizi attivi.
Ermes Server Guard non sostituisce il firewall del datacenter, un servizio anti-DDoS professionale o una corretta configurazione del server. Il suo obiettivo è migliorare il controllo locale del server, rilevare comportamenti sospetti e applicare blocchi automatici o manuali quando configurato correttamente.
2. Cosa può fare
Ermes Server Guard può aiutare a:
monitorare connessioni live verso il server;
identificare IP sospetti;
bloccare manualmente IP o subnet /24;
bloccare automaticamente IP considerati pericolosi;
rilevare tentativi di brute force RDP;
analizzare attività sospette nei log web;
controllare modifiche su file critici;
mostrare eventi di sicurezza con livello di gravità;
inviare notifiche desktop o Discord;
usare profili preimpostati in base al tipo di server;
esportare report e storico blocchi;
mantenere la protezione attiva tramite servizio Windows, se installato.
3. Limiti importanti
Ermes Server Guard non garantisce protezione totale al 100%.
In particolare:
non può fermare da solo un grande attacco DDoS volumetrico prima che raggiunga il server;
non corregge vulnerabilità presenti in siti web, CMS, plugin o software installati;
non sostituisce aggiornamenti di Windows, backup, hardening e password sicure;
non deve essere configurato con regole troppo aggressive senza test, perché potrebbe bloccare traffico legittimo.
Usalo come strumento di monitoraggio, risposta e protezione locale, insieme alle normali buone pratiche di sicurezza.
4. Requisiti prima dell’uso
Prima di usare Ermes Server Guard, verifica che:
il software venga avviato su un server Windows;
l’utente Windows abbia permessi amministratore;
Windows Firewall sia attivo e funzionante;
il server abbia accesso a Internet per licenza, aggiornamenti e notifiche;
gli IP importanti siano conosciuti prima di attivare blocchi aggressivi.
Esempi di IP da considerare attendibili:
IP del proprietario del server;
IP dell’amministratore;
IP del pannello di controllo;
IP del sistema di monitoraggio;
IP di backup o servizi interni.
5. Primo avvio
Avvia Ermes Server Guard come amministratore.
Al primo avvio può comparire la procedura guidata iniziale. Questa procedura serve a preparare una configurazione base senza dover modificare subito tutte le opzioni manualmente.
5.1 Diagnostica iniziale
La schermata di diagnostica controlla elementi importanti come:
stato del firewall;
disponibilità dei dati GeoIP;
permessi di scrittura nella cartella di configurazione;
avvio con privilegi amministratore;
accesso alle cartelle dati e log.
Se una voce risulta in errore, non ignorarla. Il programma potrebbe funzionare solo parzialmente.
5.2 Scelta del tipo di server
Scegli il tipo di server più vicino al tuo caso reale:
Tipo server
Quando usarlo
RDP server
Server esposto principalmente tramite Desktop Remoto
Web server
Siti web, API, pannelli, reverse proxy
Database server
SQL Server, MySQL, PostgreSQL, Redis
Game server
Server di gioco con traffico giocatori
Mixed server
Server con più servizi attivi insieme
Advanced custom
Configurazione manuale avanzata
La scelta applica un profilo reale dietro le quinte. Puoi comunque modificare le impostazioni dopo il primo avvio.
5.3 Porte prioritarie
Le porte prioritarie indicano al programma quali servizi sono più importanti per il tuo server.
Esempi comuni:
Servizio
Porte comuni
Web
80, 443, 8080, 8443
Database
1433, 3306, 5432, 6379
Game server
27015, 27016, 7777, 7778
RDP
3389 o porta RDP personalizzata
Le porte prioritarie non significano automaticamente che tutto il resto viene ignorato. Servono soprattutto per dare più importanza al traffico collegato ai servizi principali.
5.4 Whitelist iniziale
Inserisci gli IP attendibili che non devono essere trattati come sospetti.
Formato consigliato:
127.0.0.1
::1
203.0.113.10
Evita di inserire intervalli troppo grandi se non sei sicuro. Una whitelist troppo ampia può ridurre la protezione.
5.5 GeoIP
GeoIP permette di vedere paese, rete e organizzazione associati agli IP.
Se i database GeoIP sono presenti, la dashboard sarà più chiara e sarà possibile usare meglio le funzioni basate su paese o ASN. Se mancano, il programma può comunque partire, ma alcune informazioni saranno limitate.
5.6 Notifiche
Puoi abilitare:
notifiche desktop;
notifiche Discord tramite webhook.
Le notifiche desktop sono utili durante i test. Le notifiche Discord sono più adatte se il server resta monitorato senza una persona davanti alla schermata.
6. Licenza e modalità disponibili
Apri la sezione Services > Licensing.
Qui puoi:
avviare una trial di 14 giorni;
inserire e attivare una licenza Pro;
tornare alla modalità Free.
6.1 Modalità Free
La modalità Free è limitata. In generale consente il blocco manuale, ma non abilita tutte le funzioni automatiche di analisi e protezione.
6.2 Modalità Trial
La trial permette di provare le funzioni principali per un periodo limitato.
Include funzioni come:
monitoraggio base;
blocco automatico;
eventi sicurezza;
rilevamento eventi Windows;
rilevamento attacchi web;
controllo file critici;
notifiche.
6.3 Modalità Pro
La modalità Pro abilita le funzioni complete previste dalla licenza, inclusi profili avanzati, esportazione report, notifiche Discord e aggiornamenti.
7. Dashboard principale
La dashboard è la schermata principale di lavoro.
Da qui puoi:
avviare o fermare il monitoraggio;
applicare un profilo;
vedere le connessioni live;
filtrare IP, porta, paese, ASN o motivo;
bloccare IP manualmente;
sbloccare IP;
esportare dati;
aprire i log;
consultare lo storico blocchi;
controllare gli eventi di sicurezza.
7.1 Avviare il monitoraggio
Premi Start monitoring.
Quando il monitoraggio è attivo, il programma inizia a valutare il traffico e mostra gli IP nella tabella live.
7.2 Fermare il monitoraggio
Premi Stop monitoring.
Il programma smette di analizzare nuove connessioni live. Le regole firewall già applicate possono restare attive fino a sblocco manuale o automatico, in base alla configurazione.
8. Profili consigliati
La scelta del profilo è importante perché modifica soglie, porte prioritarie e comportamento del monitoraggio.
Profilo
Uso consigliato
rdp_strict
Server RDP esposti a Internet
web_balanced
Web server con traffico normale
web_aggressive
Web server sotto scansioni frequenti o attacchi leggeri
db_protected
Server con database esposti o molto sensibili
game_server
Server di gioco con traffico UDP/TCP dei player
mixed_server
Server generico con web, database e servizi vari
generic_aggressive
Ambiente sotto forte traffico sospetto, da usare con prudenza
custom
Configurazione manuale
Per la maggior parte degli utenti, il profilo migliore da cui partire è:
web_balanced per siti web;
game_server per server di gioco;
rdp_strict per server con RDP esposto;
mixed_server quando il server ospita più servizi.
Usa i profili aggressivi solo dopo aver verificato che non blocchino utenti legittimi.
9. Filtri live
I filtri live servono solo a modificare ciò che vedi nella tabella. Non cambiano automaticamente il comportamento del firewall.
Puoi filtrare per:
IP;
porta;
paese;
ASN / organizzazione;
motivo;
stato;
solo IP bloccati.
Questo è utile quando ci sono molte connessioni e vuoi analizzare solo una parte del traffico.
10. Azioni manuali sugli IP
10.1 Bloccare un IP selezionato
Seleziona una riga nella tabella live.
Premi Block selected IP.
Il programma applica una regola firewall per bloccare quell’IP.
Usalo quando sei sicuro che l’IP sia malevolo o non desiderato.
10.2 Sbloccare un IP
Seleziona l’IP bloccato.
Premi Unblock selected IP.
Usalo se un IP è stato bloccato per errore o se vuoi riabilitarlo.
10.3 Sbloccare tutto
Premi Unblock all solo se vuoi rimuovere tutti i blocchi gestiti dal programma.
Questa azione va usata con attenzione, soprattutto durante un attacco.
10.4 Bloccare una subnet /24
Il pulsante Block selected /24 blocca un’intera rete del tipo:
203.0.113.0/24
Questa funzione è più forte del blocco di un singolo IP. Usala solo quando diversi IP della stessa rete stanno generando traffico sospetto.
11. Smart Subnet Guard
Smart Subnet Guard è pensato per ridurre i falsi positivi quando si bloccano intere reti.
Il programma può promuovere un blocco a livello /24 solo quando nota più IP distinti della stessa rete già confermati come sospetti o bloccati.
Questo è utile soprattutto per server di gioco, perché un singolo giocatore con più client dallo stesso IP non dovrebbe causare automaticamente il blocco di tutta la subnet.
Impostazioni principali:
Opzione
Significato
Detection window
Finestra temporale di analisi
Min attacking IPs
Numero minimo di IP distinti nella stessa rete
Min confirmed auto-blocked IPs
Numero minimo di IP già auto-bloccati
Min suspicious score
Punteggio minimo richiesto
12. Country blacklist
La country blacklist permette di bloccare o gestire traffico in base al paese.
Usala con prudenza. Bloccare interi paesi può ridurre attacchi e scansioni, ma può anche impedire l’accesso a utenti legittimi, VPN, proxy o servizi esterni.
Per vedere i paesi bloccati usa:
Protection > View blocked countries
13. Trusted IPs e whitelist
La whitelist serve a proteggere IP attendibili dal blocco accidentale.
Apri:
Protection > Trusted IPs
Aggiungi solo IP realmente fidati, come:
IP amministratore;
IP del proprietario;
IP del sistema di backup;
IP di monitoraggio;
IP del pannello aziendale.
Non inserire IP sconosciuti e non usare subnet ampie se non sai esattamente cosa stai autorizzando.
14. Security Events
La sezione Security Events mostra eventi rilevanti per la sicurezza.
Può includere:
login falliti;
tentativi di brute force;
password spraying;
scansioni web;
attacchi web;
modifiche a file critici;
creazione o eliminazione di file monitorati;
eventi critici di sistema;
login riusciti dopo attività sospetta.
Gli eventi sono classificati per gravità:
Gravità
Significato
Low
Evento informativo o poco rischioso
Medium
Evento da controllare
High
Evento probabilmente pericoloso
Critical
Evento grave o combinazione di più segnali
Se vedi eventi High o Critical, controlla IP, porta, motivo e storico prima di decidere se bloccare o sbloccare.
15. Threat analysis engine
Il Threat Analysis Engine combina diversi segnali, ad esempio eventi Windows, web e file critici, per decidere se un comportamento è normale, sospetto o pericoloso.
Parametri principali:
Opzione
Significato
Aggregation window
Intervallo in cui gli eventi vengono combinati
Warning threshold
Soglia per avviso
Block threshold
Soglia per blocco
Critical threshold
Soglia per evento critico
Success-after-attack window
Finestra in cui un login riuscito dopo attacchi viene considerato rischioso
Non abbassare troppo le soglie se il server ha traffico elevato o molti utenti legittimi.
16. Protezione file critici
La funzione Critical file protection controlla modifiche su file importanti.
Di default può monitorare estensioni come:
.php, .exe, .dll, .json, .ini
Percorsi tipici:
C:/xampp/htdocs
C:/MuServer
C:/inetpub/wwwroot
Questa funzione crea una baseline SHA256 dei file considerati attendibili. Se un file viene modificato, creato o eliminato, il programma può generare un evento.
Quando ricreare la baseline
Ricrea la baseline quando hai fatto modifiche legittime, ad esempio:
aggiornamento del sito;
aggiornamento server game;
modifica configurazioni;
sostituzione file autorizzata.
Usa:
Advanced tools > Rebuild file integrity baseline
Non ricreare la baseline subito dopo un sospetto attacco, perché potresti rendere “attendibili” file compromessi.
17. RDP brute-force protection
Ermes Server Guard può monitorare tentativi di accesso falliti a RDP.
La porta RDP può essere:
rilevata automaticamente dal registro di Windows;
impostata manualmente se necessario.
Impostazione consigliata: lascia attivo Auto-detect RDP port from Windows registry, salvo casi particolari.
Se il server usa una porta RDP personalizzata, verifica che venga rilevata correttamente.
18. Notifiche
Apri:
Services > Notifications
Puoi attivare:
notifiche desktop;
notifiche Discord;
eventi specifici da notificare.
Eventi notificabili:
blocco automatico;
blocco manuale;
sblocco;
blocco paese;
blocco subnet;
errore firewall;
errore GeoIP;
livello minaccia alto;
web scan;
web attack;
file modificato;
file creato;
file eliminato.
Dopo aver configurato Discord, usa Test Discord per verificare che il webhook funzioni.
19. Aggiornamenti
Apri:
Services > Updates
Qui puoi:
controllare la versione disponibile;
installare un aggiornamento;
aprire l’URL della release, se presente.
Prima di aggiornare è consigliato:
esportare o annotare le configurazioni importanti;
chiudere attività non necessarie;
verificare che il server non sia in una fase critica;
riavviare il programma dopo l’aggiornamento se richiesto.
20. Log e report
Ermes Server Guard mantiene log operativi e storico eventi.
Dalla dashboard puoi usare:
Open Logs;
Open data folder;
Export TXT;
Export CSV;
Export security JSON;
Export summary report.
I report sono utili per:
controllare cosa è stato bloccato;
inviare prove al cliente o al provider;
analizzare traffico ricorrente;
confrontare eventi prima e dopo una modifica.
21. Servizio Windows in background
Se la versione installata include il servizio Windows, Ermes Server Guard può continuare a proteggere il server anche quando la GUI è minimizzata.
Il servizio è utile per server sempre online.
Quando il servizio è attivo:
il motore di protezione lavora in background;
gli eventi vengono registrati nei log;
la GUI può essere usata per controllare stato, log e configurazioni.
Se non sei sicuro che il servizio sia installato, verifica con il supporto o controlla nei servizi Windows la presenza di:
Ermes Server Guard IDS/IPS Service
22. Uso quotidiano consigliato
Ogni giorno
Controlla la dashboard live.
Verifica eventuali IP bloccati.
Controlla eventi High o Critical.
Verifica notifiche importanti.
Ogni settimana
Esporta un report se il server ha subito traffico sospetto.
Controlla se ci sono aggiornamenti.
Verifica che la whitelist sia ancora corretta.
Controlla eventuali blocchi per paese o subnet.
Dopo modifiche importanti al server
Controlla le porte prioritarie.
Aggiorna la whitelist se cambia IP amministratore.
Ricrea la baseline file solo dopo modifiche legittime.
Esegui una diagnostica.
23. Configurazione consigliata per tipo di server
23.1 Server web
Profilo consigliato:
web_balanced
Porte prioritarie:
80, 443, 8080, 8443
Abilita:
Web attack detector;
Threat analysis engine;
Critical file protection su cartelle web;
notifiche per web scan e web attack.
Usa web_aggressive solo se il server riceve molte scansioni o attacchi ripetuti.
23.2 Server RDP
Profilo consigliato:
rdp_strict
Porte prioritarie:
3389
Oppure la porta RDP reale se personalizzata.
Abilita:
RDP brute-force detection;
Windows Event Monitor;
notifiche per failed login e brute force.
Consiglio: usa password forti, limita gli IP che possono accedere a RDP e valuta una VPN.
23.3 Server database
Profilo consigliato:
db_protected
Porte prioritarie:
1433, 3306, 5432, 6379
Non esporre il database pubblicamente se non è necessario.
23.4 Server game
Profilo consigliato:
game_server
Porte prioritarie comuni:
27015, 27016, 7777, 7778
Per server game è importante non usare soglie troppo aggressive. Alcuni giochi generano molte connessioni legittime o traffico UDP intenso.
Mantieni attivo Smart Subnet Guard per ridurre il rischio di bloccare intere reti per errore.
23.5 Server misto
Profilo consigliato:
mixed_server
Porte prioritarie tipiche:
80, 443, 8080, 8443, 1433, 3306, 5432, 6379
È il profilo più adatto quando non sai ancora quale categoria descrive meglio il server.
24. Errori comuni e soluzioni
Il programma non blocca IP
Controlla:
avvio come amministratore;
Windows Firewall attivo;
licenza Trial o Pro per funzioni automatiche;
profilo applicato correttamente;
log firewall.
Vedo pochi dati nella dashboard
Controlla:
filtri live attivi;
monitoraggio avviato;
porte prioritarie impostate;
traffico reale sul server;
modalità “Blocked only”.
Un utente legittimo è stato bloccato
Cerca l’IP nello storico.
Controlla il motivo del blocco.
Sblocca l’IP.
Se è attendibile, aggiungilo alla whitelist.
Se succede spesso, alza leggermente le soglie o usa un profilo meno aggressivo.
Arrivano troppe notifiche
Vai in Services > Notifications e disattiva gli eventi meno importanti.
Il controllo file genera troppi eventi
Controlla:
percorsi monitorati;
estensioni monitorate;
cartelle ignorate;
intervallo di scansione;
baseline file integrity.
Su cartelle grandi è meglio usare un intervallo più alto per evitare carico eccessivo.
25. Buone pratiche
Avvia sempre il programma come amministratore.
Usa la whitelist prima di attivare profili aggressivi.
Parti da un profilo bilanciato.
Controlla lo storico prima di bloccare una subnet.
Non bloccare paesi interi senza motivo.
Non abbassare troppo le soglie.
Non ricreare la baseline file durante un sospetto attacco.
Mantieni Windows e i software del server aggiornati.
Usa backup regolari.
Usa password forti e, dove possibile, VPN o restrizioni IP.
26. Procedura rapida consigliata
Per un nuovo utente, la procedura più semplice è questa:
Avvia Ermes Server Guard come amministratore.
Completa il First Run Wizard.
Scegli il tipo di server corretto.
Inserisci gli IP attendibili nella whitelist.
Attiva Trial o Pro.
Premi Start monitoring.
Lascia lavorare il programma per alcuni minuti.
Controlla la dashboard live.
Verifica gli eventi sicurezza.
Attiva notifiche Discord se il server deve essere monitorato senza presenza costante.
Dopo qualche ora, valuta se il profilo è troppo leggero o troppo aggressivo.
27. Quando contattare il supporto
Contatta il supporto se:
non sai quale profilo scegliere;
il firewall non applica i blocchi;
il server blocca utenti legittimi;
vuoi configurare Ermes Server Guard per un ambiente specifico;
devi proteggere un server con traffico molto alto;
vuoi usare Discord, report o servizio Windows in modo continuativo;
hai eventi Critical e non sai come interpretarli.
Quando contatti il supporto, prepara:
versione del software;
tipo di server;
screenshot della dashboard;
esportazione report o log;
IP coinvolti;
profilo attivo;
descrizione del problema.
28. Sintesi finale
Ermes Server Guard è pensato per rendere più semplice il controllo della sicurezza su server Windows.
Il modo corretto di usarlo è:
scegliere il profilo giusto;
proteggere gli IP attendibili con whitelist;
monitorare prima di applicare regole aggressive;
usare gli eventi sicurezza per capire cosa sta succedendo;
esportare report quando serve;
mantenere sempre aggiornato il server.
Usato correttamente, Ermes Server Guard può aiutare a ridurre traffico indesiderato, bloccare IP sospetti, identificare tentativi di accesso e dare all’utente una visione più chiara della sicurezza del proprio server.
Ermes Server Guard is software for Windows servers designed to help users monitor suspicious connections, attack attempts and abnormal activity, with the option to block traffic through Windows Firewall.
The program can be used for different types of servers, for example:
web servers;
RDP / remote desktop servers;
database servers;
game servers;
mixed servers with multiple active services.
Ermes Server Guard does not replace a datacenter firewall, a professional anti-DDoS service or correct server configuration. Its purpose is to improve local server control, detect suspicious behavior and apply automatic or manual blocks when it is configured correctly.
2. What it can do
Ermes Server Guard can help you:
monitor live connections to the server;
identify suspicious IP addresses;
manually block IPs or /24 subnets;
automatically block IPs considered dangerous;
detect RDP brute-force attempts;
analyze suspicious activity in web logs;
monitor changes to critical files;
show security events with severity levels;
send desktop or Discord notifications;
use preset profiles based on the server type;
export reports and block history;
keep protection active through a Windows service, if installed.
3. Important limits
Ermes Server Guard does not guarantee 100% total protection.
In particular:
it cannot stop a large volumetric DDoS attack by itself before it reaches the server;
it does not fix vulnerabilities in websites, CMS platforms, plugins or installed software;
it does not replace Windows updates, backups, hardening and secure passwords;
it should not be configured with overly aggressive rules without testing, because it could block legitimate traffic.
Use it as a monitoring, response and local protection tool together with normal security best practices.
4. Requirements before use
Before using Ermes Server Guard, check that:
the software is launched on a Windows server;
the Windows user has administrator permissions;
Windows Firewall is enabled and working;
the server has Internet access for license checks, updates and notifications;
important IPs are known before enabling aggressive blocks.
Examples of IPs to consider trusted:
server owner IP;
administrator IP;
control panel IP;
monitoring system IP;
backup or internal service IPs.
5. First launch
Run Ermes Server Guard as administrator.
On first launch, the initial wizard may appear. This wizard prepares a basic configuration without requiring you to manually change every option immediately.
5.1 Initial diagnostics
The diagnostics screen checks important elements such as:
firewall status;
GeoIP data availability;
write permissions in the configuration folder;
launch with administrator privileges;
access to data and log folders.
If an item shows an error, do not ignore it. The program may work only partially.
5.2 Choosing the server type
Choose the server type closest to your real case:
Server type
When to use it
RDP server
Server mainly exposed through Remote Desktop
Web server
Websites, APIs, panels, reverse proxies
Database server
SQL Server, MySQL, PostgreSQL, Redis
Game server
Game server with player traffic
Mixed server
Server with several services active at the same time
Advanced custom
Advanced manual configuration
The choice applies a real profile behind the scenes. You can still change the settings after the first launch.
5.3 Priority ports
Priority ports tell the program which services are most important for your server.
Common examples:
Service
Common ports
Web
80, 443, 8080, 8443
Database
1433, 3306, 5432, 6379
Game server
27015, 27016, 7777, 7778
RDP
3389 or a custom RDP port
Priority ports do not automatically mean that everything else is ignored. They mainly give more importance to traffic linked to the main services.
5.4 Initial whitelist
Enter trusted IPs that should not be treated as suspicious.
Recommended format:
127.0.0.1
::1
203.0.113.10
Avoid entering very large ranges unless you are sure. A whitelist that is too broad can reduce protection.
5.5 GeoIP
GeoIP lets you see the country, network and organization associated with IP addresses.
If the GeoIP databases are present, the dashboard will be clearer and country- or ASN-based functions can be used more effectively. If they are missing, the program can still start, but some information will be limited.
5.6 Notifications
You can enable:
desktop notifications;
Discord notifications through a webhook.
Desktop notifications are useful during tests. Discord notifications are more suitable when the server remains monitored without a person watching the screen.
6. License and available modes
Open the Services > Licensing section.
Here you can:
start a 14-day trial;
enter and activate a Pro license;
return to Free mode.
6.1 Free mode
Free mode is limited. In general, it allows manual blocking, but it does not enable all automatic analysis and protection functions.
6.2 Trial mode
The trial lets you test the main functions for a limited period.
It includes functions such as:
basic monitoring;
automatic blocking;
security events;
Windows event detection;
web attack detection;
critical file monitoring;
notifications.
6.3 Pro mode
Pro mode enables the complete functions included with the license, including advanced profiles, report export, Discord notifications and updates.
7. Main dashboard
The dashboard is the main working screen.
From here you can:
start or stop monitoring;
apply a profile;
view live connections;
filter by IP, port, country, ASN or reason;
manually block IPs;
unblock IPs;
export data;
open logs;
view block history;
check security events.
7.1 Start monitoring
Press Start monitoring.
When monitoring is active, the program starts evaluating traffic and shows IPs in the live table.
7.2 Stop monitoring
Press Stop monitoring.
The program stops analyzing new live connections. Firewall rules that have already been applied may remain active until manual or automatic unblocking, depending on the configuration.
8. Recommended profiles
Choosing the profile is important because it changes thresholds, priority ports and monitoring behavior.
Profile
Recommended use
rdp_strict
RDP servers exposed to the Internet
web_balanced
Web servers with normal traffic
web_aggressive
Web servers under frequent scans or light attacks
db_protected
Servers with exposed or highly sensitive databases
game_server
Game servers with player UDP/TCP traffic
mixed_server
Generic servers with web, database and other services
generic_aggressive
Environment under heavy suspicious traffic, to be used carefully
custom
Manual configuration
For most users, the best starting profile is:
web_balanced for websites;
game_server for game servers;
rdp_strict for servers with exposed RDP;
mixed_server when the server hosts several services.
Use aggressive profiles only after checking that they do not block legitimate users.
9. Live filters
Live filters only change what you see in the table. They do not automatically change firewall behavior.
You can filter by:
IP;
port;
country;
ASN / organization;
reason;
status;
blocked IPs only.
This is useful when there are many connections and you want to analyze only part of the traffic.
10. Manual IP actions
10.1 Block a selected IP
Select a row in the live table.
Press Block selected IP.
The program applies a firewall rule to block that IP.
Use it when you are sure that the IP is malicious or unwanted.
10.2 Unblock an IP
Select the blocked IP.
Press Unblock selected IP.
Use it if an IP was blocked by mistake or if you want to allow it again.
10.3 Unblock all
Press Unblock all only if you want to remove all blocks managed by the program.
This action must be used carefully, especially during an attack.
10.4 Block a /24 subnet
The Block selected /24 button blocks an entire network such as:
203.0.113.0/24
This function is stronger than blocking a single IP. Use it only when several IPs from the same network are generating suspicious traffic.
11. Smart Subnet Guard
Smart Subnet Guard is designed to reduce false positives when blocking entire networks.
The program can promote a block to /24 level only when it detects multiple distinct IPs from the same network already confirmed as suspicious or blocked.
This is especially useful for game servers, because a single player with multiple clients from the same IP should not automatically cause the whole subnet to be blocked.
Main settings:
Option
Meaning
Detection window
Analysis time window
Min attacking IPs
Minimum number of distinct IPs in the same network
Min confirmed auto-blocked IPs
Minimum number of IPs already automatically blocked
Min suspicious score
Minimum required score
12. Country blacklist
The country blacklist lets you block or manage traffic based on country.
Use it carefully. Blocking entire countries can reduce attacks and scans, but it can also prevent access for legitimate users, VPNs, proxies or external services.
To view blocked countries, use:
Protection > View blocked countries
13. Trusted IPs and whitelist
The whitelist protects trusted IPs from accidental blocking.
Open:
Protection > Trusted IPs
Add only truly trusted IPs, such as:
administrator IP;
owner IP;
backup system IP;
monitoring IP;
company panel IP.
Do not add unknown IPs and do not use broad subnets unless you know exactly what you are allowing.
14. Security Events
The Security Events section shows security-relevant events.
It can include:
failed logins;
brute-force attempts;
password spraying;
web scans;
web attacks;
changes to critical files;
creation or deletion of monitored files;
critical system events;
successful logins after suspicious activity.
Events are classified by severity:
Severity
Meaning
Low
Informational or low-risk event
Medium
Event to check
High
Probably dangerous event
Critical
Serious event or combination of multiple signals
If you see High or Critical events, check IP, port, reason and history before deciding whether to block or unblock.
15. Threat analysis engine
The Threat Analysis Engine combines different signals, for example Windows, web and critical file events, to decide whether a behavior is normal, suspicious or dangerous.
Main parameters:
Option
Meaning
Aggregation window
Interval in which events are combined
Warning threshold
Warning threshold
Block threshold
Blocking threshold
Critical threshold
Threshold for a critical event
Success-after-attack window
Window in which a successful login after attacks is considered risky
Do not lower thresholds too much if the server has high traffic or many legitimate users.
16. Critical file protection
The Critical file protection function checks changes to important files.
By default, it can monitor extensions such as:
.php, .exe, .dll, .json, .ini
Typical paths:
C:/xampp/htdocs
C:/MuServer
C:/inetpub/wwwroot
This function creates a SHA256 baseline of files considered trusted. If a file is modified, created or deleted, the program can generate an event.
When to rebuild the baseline
Rebuild the baseline after legitimate changes, for example:
website update;
game server update;
configuration changes;
authorized file replacement.
Use:
Advanced tools > Rebuild file integrity baseline
Do not rebuild the baseline immediately after a suspected attack, because you could mark compromised files as “trusted”.
17. RDP brute-force protection
Ermes Server Guard can monitor failed RDP login attempts.
The RDP port can be:
detected automatically from the Windows registry;
set manually if needed.
Recommended setting: keep Auto-detect RDP port from Windows registry enabled, except in special cases.
If the server uses a custom RDP port, check that it is detected correctly.
18. Notifications
Open:
Services > Notifications
You can enable:
desktop notifications;
Discord notifications;
specific events to notify.
Events that can be notified:
automatic block;
manual block;
unblock;
country block;
subnet block;
firewall error;
GeoIP error;
high threat level;
web scan;
web attack;
file modified;
file created;
file deleted.
After configuring Discord, use Test Discord to verify that the webhook works.
19. Updates
Open:
Services > Updates
Here you can:
check the available version;
install an update;
open the release URL, if present.
Before updating, it is recommended to:
export or note important configurations;
close unnecessary activities;
verify that the server is not in a critical phase;
restart the program after the update if requested.
20. Logs and reports
Ermes Server Guard keeps operational logs and event history.
From the dashboard you can use:
Open Logs;
Open data folder;
Export TXT;
Export CSV;
Export security JSON;
Export summary report.
Reports are useful to:
check what was blocked;
send evidence to a client or provider;
analyze recurring traffic;
compare events before and after a change.
21. Background Windows service
If the installed version includes the Windows service, Ermes Server Guard can continue protecting the server even when the GUI is minimized.
The service is useful for always-online servers.
When the service is active:
the protection engine works in the background;
events are recorded in the logs;
the GUI can be used to check status, logs and configurations.
If you are not sure whether the service is installed, check with support or look in Windows Services for:
Ermes Server Guard IDS/IPS Service
22. Recommended daily use
Every day
Check the live dashboard.
Verify any blocked IPs.
Check High or Critical events.
Check important notifications.
Every week
Export a report if the server experienced suspicious traffic.
Check for updates.
Verify that the whitelist is still correct.
Check any country or subnet blocks.
After important server changes
Check priority ports.
Update the whitelist if the administrator IP changes.
Rebuild the file baseline only after legitimate changes.
Run diagnostics.
23. Recommended configuration by server type
23.1 Web server
Recommended profile:
web_balanced
Priority ports:
80, 443, 8080, 8443
Enable:
Web attack detector;
Threat analysis engine;
Critical file protection on web folders;
notifications for web scans and web attacks.
Use web_aggressive only if the server receives many repeated scans or attacks.
23.2 RDP server
Recommended profile:
rdp_strict
Priority ports:
3389
Or the real RDP port if customized.
Enable:
RDP brute-force detection;
Windows Event Monitor;
notifications for failed login and brute force.
Tip: use strong passwords, limit which IPs can access RDP and consider a VPN.
23.3 Database server
Recommended profile:
db_protected
Priority ports:
1433, 3306, 5432, 6379
Do not expose the database publicly if it is not necessary.
23.4 Game server
Recommended profile:
game_server
Common priority ports:
27015, 27016, 7777, 7778
For game servers, it is important not to use thresholds that are too aggressive. Some games generate many legitimate connections or intense UDP traffic.
Keep Smart Subnet Guard active to reduce the risk of blocking entire networks by mistake.
23.5 Mixed server
Recommended profile:
mixed_server
Typical priority ports:
80, 443, 8080, 8443, 1433, 3306, 5432, 6379
This is the most suitable profile when you do not yet know which category best describes the server.
24. Common errors and solutions
The program does not block IPs
Check:
launch as administrator;
Windows Firewall enabled;
Trial or Pro license for automatic functions;
profile applied correctly;
firewall logs.
I see little data in the dashboard
Check:
active live filters;
monitoring started;
priority ports configured;
real traffic on the server;
“Blocked only” mode.
A legitimate user was blocked
Search for the IP in the history.
Check the block reason.
Unblock the IP.
If it is trusted, add it to the whitelist.
If it happens often, slightly raise the thresholds or use a less aggressive profile.
Too many notifications arrive
Go to Services > Notifications and disable less important events.
File control generates too many events
Check:
monitored paths;
monitored extensions;
ignored folders;
scan interval;
file integrity baseline.
On large folders, it is better to use a higher interval to avoid excessive load.
25. Best practices
Always run the program as administrator.
Use the whitelist before enabling aggressive profiles.
Start from a balanced profile.
Check the history before blocking a subnet.
Do not block entire countries without a reason.
Do not lower thresholds too much.
Do not rebuild the file baseline during a suspected attack.
Keep Windows and server software updated.
Use regular backups.
Use strong passwords and, where possible, VPNs or IP restrictions.
26. Recommended quick procedure
For a new user, the simplest procedure is:
Run Ermes Server Guard as administrator.
Complete the First Run Wizard.
Choose the correct server type.
Enter trusted IPs in the whitelist.
Activate Trial or Pro.
Press Start monitoring.
Let the program work for a few minutes.
Check the live dashboard.
Review security events.
Enable Discord notifications if the server must be monitored without constant presence.
After a few hours, evaluate whether the profile is too light or too aggressive.
27. When to contact support
Contact support if:
you do not know which profile to choose;
the firewall does not apply blocks;
the server blocks legitimate users;
you want to configure Ermes Server Guard for a specific environment;
you need to protect a server with very high traffic;
you want to use Discord, reports or the Windows service continuously;
you have Critical events and do not know how to interpret them.
When contacting support, prepare:
software version;
server type;
dashboard screenshot;
report or log export;
involved IPs;
active profile;
problem description.
28. Final summary
Ermes Server Guard is designed to make security control on Windows servers easier.
The correct way to use it is:
choose the right profile;
protect trusted IPs with the whitelist;
monitor before applying aggressive rules;
use security events to understand what is happening;
export reports when needed;
always keep the server updated.
Used correctly, Ermes Server Guard can help reduce unwanted traffic, block suspicious IPs, identify login attempts and give the user a clearer view of server security.
Ermes Server Guard es un software para servidores Windows diseñado para ayudar al usuario a monitorear conexiones sospechosas, intentos de ataque y actividad anómala, con la posibilidad de bloquear tráfico mediante Windows Firewall.
El programa puede usarse para diferentes tipos de servidores, por ejemplo:
servidores web;
servidores RDP / escritorio remoto;
servidores de base de datos;
servidores de juego;
servidores mixtos con varios servicios activos.
Ermes Server Guard no reemplaza el firewall del datacenter, un servicio anti-DDoS profesional ni una configuración correcta del servidor. Su objetivo es mejorar el control local del servidor, detectar comportamientos sospechosos y aplicar bloqueos automáticos o manuales cuando está configurado correctamente.
mostrar eventos de seguridad con nivel de gravedad;
enviar notificaciones de escritorio o Discord;
usar perfiles predefinidos según el tipo de servidor;
exportar informes e historial de bloqueos;
mantener la protección activa mediante un servicio Windows, si está instalado.
3. Límites importantes
Ermes Server Guard no garantiza una protección total al 100%.
En particular:
no puede detener por sí solo un gran ataque DDoS volumétrico antes de que llegue al servidor;
no corrige vulnerabilidades presentes en sitios web, CMS, plugins o software instalado;
no reemplaza las actualizaciones de Windows, copias de seguridad, hardening y contraseñas seguras;
no debe configurarse con reglas demasiado agresivas sin pruebas, porque podría bloquear tráfico legítimo.
Úsalo como herramienta de monitoreo, respuesta y protección local, junto con las buenas prácticas normales de seguridad.
4. Requisitos antes del uso
Antes de usar Ermes Server Guard, verifica que:
el software se ejecute en un servidor Windows;
el usuario Windows tenga permisos de administrador;
Windows Firewall esté activo y funcionando;
el servidor tenga acceso a Internet para licencia, actualizaciones y notificaciones;
las IPs importantes sean conocidas antes de activar bloqueos agresivos.
Ejemplos de IPs que deben considerarse confiables:
IP del propietario del servidor;
IP del administrador;
IP del panel de control;
IP del sistema de monitoreo;
IP de backup o servicios internos.
5. Primer inicio
Inicia Ermes Server Guard como administrador.
En el primer inicio puede aparecer el asistente inicial. Este procedimiento sirve para preparar una configuración básica sin tener que modificar de inmediato todas las opciones manualmente.
5.1 Diagnóstico inicial
La pantalla de diagnóstico controla elementos importantes como:
estado del firewall;
disponibilidad de los datos GeoIP;
permisos de escritura en la carpeta de configuración;
inicio con privilegios de administrador;
acceso a las carpetas de datos y logs.
Si un elemento muestra error, no lo ignores. El programa podría funcionar solo parcialmente.
5.2 Elegir el tipo de servidor
Elige el tipo de servidor más cercano a tu caso real:
Tipo de servidor
Cuándo usarlo
RDP server
Servidor expuesto principalmente mediante Escritorio Remoto
Web server
Sitios web, API, paneles, reverse proxy
Database server
SQL Server, MySQL, PostgreSQL, Redis
Game server
Servidor de juego con tráfico de jugadores
Mixed server
Servidor con varios servicios activos al mismo tiempo
Advanced custom
Configuración manual avanzada
La elección aplica un perfil real en segundo plano. De todos modos, puedes modificar la configuración después del primer inicio.
5.3 Puertos prioritarios
Los puertos prioritarios indican al programa qué servicios son más importantes para tu servidor.
Ejemplos comunes:
Servicio
Puertos comunes
Web
80, 443, 8080, 8443
Base de datos
1433, 3306, 5432, 6379
Servidor de juego
27015, 27016, 7777, 7778
RDP
3389 o puerto RDP personalizado
Los puertos prioritarios no significan automáticamente que todo lo demás se ignore. Sirven sobre todo para dar más importancia al tráfico relacionado con los servicios principales.
5.4 Lista blanca inicial
Introduce las IPs confiables que no deben tratarse como sospechosas.
Formato recomendado:
127.0.0.1
::1
203.0.113.10
Evita introducir rangos demasiado grandes si no estás seguro. Una lista blanca demasiado amplia puede reducir la protección.
5.5 GeoIP
GeoIP permite ver el país, la red y la organización asociados a las IPs.
Si las bases de datos GeoIP están presentes, el panel será más claro y será posible usar mejor las funciones basadas en país o ASN. Si faltan, el programa puede iniciar de todos modos, pero parte de la información será limitada.
5.6 Notificaciones
Puedes habilitar:
notificaciones de escritorio;
notificaciones Discord mediante webhook.
Las notificaciones de escritorio son útiles durante las pruebas. Las notificaciones Discord son más adecuadas si el servidor permanece monitoreado sin una persona frente a la pantalla.
6. Licencia y modos disponibles
Abre la sección Services > Licensing.
Aquí puedes:
iniciar una trial de 14 días;
introducir y activar una licencia Pro;
volver al modo Free.
6.1 Modo Free
El modo Free es limitado. En general permite el bloqueo manual, pero no habilita todas las funciones automáticas de análisis y protección.
6.2 Modo Trial
La trial permite probar las funciones principales durante un período limitado.
Incluye funciones como:
monitoreo básico;
bloqueo automático;
eventos de seguridad;
detección de eventos Windows;
detección de ataques web;
control de archivos críticos;
notificaciones.
6.3 Modo Pro
El modo Pro habilita las funciones completas previstas por la licencia, incluidos perfiles avanzados, exportación de informes, notificaciones Discord y actualizaciones.
7. Panel principal
El panel es la pantalla principal de trabajo.
Desde aquí puedes:
iniciar o detener el monitoreo;
aplicar un perfil;
ver las conexiones en vivo;
filtrar IP, puerto, país, ASN o motivo;
bloquear IPs manualmente;
desbloquear IPs;
exportar datos;
abrir los logs;
consultar el historial de bloqueos;
controlar los eventos de seguridad.
7.1 Iniciar el monitoreo
Presiona Start monitoring.
Cuando el monitoreo está activo, el programa empieza a evaluar el tráfico y muestra las IPs en la tabla en vivo.
7.2 Detener el monitoreo
Presiona Stop monitoring.
El programa deja de analizar nuevas conexiones en vivo. Las reglas firewall ya aplicadas pueden permanecer activas hasta el desbloqueo manual o automático, según la configuración.
8. Perfiles recomendados
La elección del perfil es importante porque modifica umbrales, puertos prioritarios y comportamiento del monitoreo.
Perfil
Uso recomendado
rdp_strict
Servidores RDP expuestos a Internet
web_balanced
Servidores web con tráfico normal
web_aggressive
Servidores web bajo escaneos frecuentes o ataques ligeros
db_protected
Servidores con bases de datos expuestas o muy sensibles
game_server
Servidores de juego con tráfico UDP/TCP de los jugadores
mixed_server
Servidor genérico con web, base de datos y servicios varios
generic_aggressive
Entorno bajo tráfico sospechoso fuerte, usar con prudencia
custom
Configuración manual
Para la mayoría de usuarios, el mejor perfil para empezar es:
web_balanced para sitios web;
game_server para servidores de juego;
rdp_strict para servidores con RDP expuesto;
mixed_server cuando el servidor aloja varios servicios.
Usa perfiles agresivos solo después de verificar que no bloqueen usuarios legítimos.
9. Filtros en vivo
Los filtros en vivo solo modifican lo que ves en la tabla. No cambian automáticamente el comportamiento del firewall.
Puedes filtrar por:
IP;
puerto;
país;
ASN / organización;
motivo;
estado;
solo IPs bloqueadas.
Esto es útil cuando hay muchas conexiones y quieres analizar solo una parte del tráfico.
10. Acciones manuales sobre IP
10.1 Bloquear una IP seleccionada
Selecciona una fila en la tabla en vivo.
Presiona Block selected IP.
El programa aplica una regla firewall para bloquear esa IP.
Úsalo cuando estés seguro de que la IP es maliciosa o no deseada.
10.2 Desbloquear una IP
Selecciona la IP bloqueada.
Presiona Unblock selected IP.
Úsalo si una IP fue bloqueada por error o si quieres volver a habilitarla.
10.3 Desbloquear todo
Presiona Unblock all solo si quieres eliminar todos los bloqueos gestionados por el programa.
Esta acción debe usarse con cuidado, sobre todo durante un ataque.
10.4 Bloquear una subred /24
El botón Block selected /24 bloquea una red completa del tipo:
203.0.113.0/24
Esta función es más fuerte que bloquear una sola IP. Úsala solo cuando varias IPs de la misma red estén generando tráfico sospechoso.
11. Smart Subnet Guard
Smart Subnet Guard está pensado para reducir falsos positivos al bloquear redes completas.
El programa puede promover un bloqueo a nivel /24 solo cuando detecta varias IPs distintas de la misma red ya confirmadas como sospechosas o bloqueadas.
Esto es especialmente útil para servidores de juego, porque un solo jugador con varios clientes desde la misma IP no debería causar automáticamente el bloqueo de toda la subred.
Configuraciones principales:
Opción
Significado
Detection window
Ventana temporal de análisis
Min attacking IPs
Número mínimo de IPs distintas en la misma red
Min confirmed auto-blocked IPs
Número mínimo de IPs ya bloqueadas automáticamente
Min suspicious score
Puntuación mínima requerida
12. Lista negra por país
La lista negra por país permite bloquear o gestionar tráfico según el país.
Úsala con prudencia. Bloquear países enteros puede reducir ataques y escaneos, pero también puede impedir el acceso a usuarios legítimos, VPN, proxy o servicios externos.
Para ver los países bloqueados usa:
Protection > View blocked countries
13. IPs confiables y lista blanca
La lista blanca sirve para proteger IPs confiables del bloqueo accidental.
Abre:
Protection > Trusted IPs
Añade solo IPs realmente confiables, como:
IP del administrador;
IP del propietario;
IP del sistema de backup;
IP de monitoreo;
IP del panel empresarial.
No introduzcas IPs desconocidas y no uses subredes amplias si no sabes exactamente qué estás autorizando.
14. Eventos de seguridad
La sección Security Events muestra eventos relevantes para la seguridad.
Puede incluir:
inicios de sesión fallidos;
intentos de fuerza bruta;
password spraying;
escaneos web;
ataques web;
modificaciones de archivos críticos;
creación o eliminación de archivos monitoreados;
eventos críticos del sistema;
inicios de sesión correctos después de actividad sospechosa.
Los eventos se clasifican por gravedad:
Gravedad
Significado
Low
Evento informativo o de bajo riesgo
Medium
Evento que se debe revisar
High
Evento probablemente peligroso
Critical
Evento grave o combinación de varias señales
Si ves eventos High o Critical, revisa IP, puerto, motivo e historial antes de decidir si bloquear o desbloquear.
15. Motor de análisis de amenazas
El Threat Analysis Engine combina distintas señales, por ejemplo eventos Windows, web y archivos críticos, para decidir si un comportamiento es normal, sospechoso o peligroso.
Parámetros principales:
Opción
Significado
Aggregation window
Intervalo en el que se combinan los eventos
Warning threshold
Umbral de aviso
Block threshold
Umbral de bloqueo
Critical threshold
Umbral para evento crítico
Success-after-attack window
Ventana en la que un login correcto después de ataques se considera riesgoso
No bajes demasiado los umbrales si el servidor tiene tráfico elevado o muchos usuarios legítimos.
16. Protección de archivos críticos
La función Critical file protection controla modificaciones en archivos importantes.
Por defecto puede monitorear extensiones como:
.php, .exe, .dll, .json, .ini
Rutas típicas:
C:/xampp/htdocs
C:/MuServer
C:/inetpub/wwwroot
Esta función crea una línea base SHA256 de los archivos considerados confiables. Si un archivo se modifica, crea o elimina, el programa puede generar un evento.
Cuándo recrear la línea base
Recrea la línea base cuando hayas hecho cambios legítimos, por ejemplo:
actualización del sitio;
actualización del servidor de juego;
modificación de configuraciones;
sustitución de archivos autorizada.
Usa:
Advanced tools > Rebuild file integrity baseline
No recrees la línea base inmediatamente después de un ataque sospechoso, porque podrías convertir archivos comprometidos en “confiables”.
17. Protección contra fuerza bruta RDP
Ermes Server Guard puede monitorear intentos fallidos de acceso RDP.
El puerto RDP puede ser:
detectado automáticamente desde el registro de Windows;
configurado manualmente si es necesario.
Configuración recomendada: deja activo Auto-detect RDP port from Windows registry, salvo casos particulares.
Si el servidor usa un puerto RDP personalizado, verifica que se detecte correctamente.
18. Notificaciones
Abre:
Services > Notifications
Puedes activar:
notificaciones de escritorio;
notificaciones Discord;
eventos específicos para notificar.
Eventos notificables:
bloqueo automático;
bloqueo manual;
desbloqueo;
bloqueo de país;
bloqueo de subred;
error de firewall;
error GeoIP;
nivel de amenaza alto;
web scan;
web attack;
archivo modificado;
archivo creado;
archivo eliminado.
Después de configurar Discord, usa Test Discord para verificar que el webhook funcione.
19. Actualizaciones
Abre:
Services > Updates
Aquí puedes:
controlar la versión disponible;
instalar una actualización;
abrir la URL de la release, si existe.
Antes de actualizar se recomienda:
exportar o anotar las configuraciones importantes;
cerrar actividades innecesarias;
verificar que el servidor no esté en una fase crítica;
reiniciar el programa después de la actualización si se solicita.
20. Registros e informes
Ermes Server Guard mantiene logs operativos e historial de eventos.
Desde el panel puedes usar:
Open Logs;
Open data folder;
Export TXT;
Export CSV;
Export security JSON;
Export summary report.
Los informes son útiles para:
controlar qué fue bloqueado;
enviar pruebas al cliente o al proveedor;
analizar tráfico recurrente;
comparar eventos antes y después de una modificación.
21. Servicio Windows en segundo plano
Si la versión instalada incluye el servicio Windows, Ermes Server Guard puede seguir protegiendo el servidor incluso cuando la GUI está minimizada.
El servicio es útil para servidores siempre online.
Cuando el servicio está activo:
el motor de protección trabaja en segundo plano;
los eventos se registran en los logs;
la GUI puede usarse para controlar estado, logs y configuraciones.
Si no estás seguro de que el servicio esté instalado, consulta al soporte o verifica en los servicios Windows la presencia de:
Ermes Server Guard IDS/IPS Service
22. Uso diario recomendado
Todos los días
Controla el panel en vivo.
Verifica posibles IPs bloqueadas.
Controla eventos High o Critical.
Verifica notificaciones importantes.
Cada semana
Exporta un informe si el servidor ha sufrido tráfico sospechoso.
Controla si hay actualizaciones.
Verifica que la lista blanca siga siendo correcta.
Controla posibles bloqueos por país o subred.
Después de cambios importantes en el servidor
Controla los puertos prioritarios.
Actualiza la lista blanca si cambia la IP del administrador.
Recrea la línea base de archivos solo después de cambios legítimos.
Ejecuta un diagnóstico.
23. Configuración recomendada por tipo de servidor
23.1 Servidor web
Perfil recomendado:
web_balanced
Puertos prioritarios:
80, 443, 8080, 8443
Activa:
Web attack detector;
Threat analysis engine;
Critical file protection en carpetas web;
notificaciones para web scan y web attack.
Usa web_aggressive solo si el servidor recibe muchos escaneos o ataques repetidos.
23.2 Servidor RDP
Perfil recomendado:
rdp_strict
Puertos prioritarios:
3389
O el puerto RDP real si está personalizado.
Activa:
RDP brute-force detection;
Windows Event Monitor;
notificaciones para failed login y brute force.
Consejo: usa contraseñas fuertes, limita las IPs que pueden acceder a RDP y considera una VPN.
23.3 Servidor de base de datos
Perfil recomendado:
db_protected
Puertos prioritarios:
1433, 3306, 5432, 6379
No expongas la base de datos públicamente si no es necesario.
23.4 Servidor de juego
Perfil recomendado:
game_server
Puertos prioritarios comunes:
27015, 27016, 7777, 7778
Para servidores de juego es importante no usar umbrales demasiado agresivos. Algunos juegos generan muchas conexiones legítimas o tráfico UDP intenso.
Mantén activo Smart Subnet Guard para reducir el riesgo de bloquear redes enteras por error.
23.5 Servidor mixto
Perfil recomendado:
mixed_server
Puertos prioritarios típicos:
80, 443, 8080, 8443, 1433, 3306, 5432, 6379
Es el perfil más adecuado cuando aún no sabes qué categoría describe mejor el servidor.
24. Errores comunes y soluciones
El programa no bloquea IPs
Controla:
inicio como administrador;
Windows Firewall activo;
licencia Trial o Pro para funciones automáticas;
perfil aplicado correctamente;
logs firewall.
Veo pocos datos en el panel
Controla:
filtros en vivo activos;
monitoreo iniciado;
puertos prioritarios configurados;
tráfico real en el servidor;
modo “Blocked only”.
Un usuario legítimo fue bloqueado
Busca la IP en el historial.
Controla el motivo del bloqueo.
Desbloquea la IP.
Si es confiable, añádela a la lista blanca.
Si ocurre a menudo, sube ligeramente los umbrales o usa un perfil menos agresivo.
Llegan demasiadas notificaciones
Ve a Services > Notifications y desactiva los eventos menos importantes.
El control de archivos genera demasiados eventos
Controla:
rutas monitoreadas;
extensiones monitoreadas;
carpetas ignoradas;
intervalo de escaneo;
línea base de integridad de archivos.
En carpetas grandes es mejor usar un intervalo más alto para evitar carga excesiva.
25. Buenas prácticas
Inicia siempre el programa como administrador.
Usa la lista blanca antes de activar perfiles agresivos.
Empieza con un perfil equilibrado.
Revisa el historial antes de bloquear una subred.
No bloquees países enteros sin motivo.
No bajes demasiado los umbrales.
No recrees la línea base de archivos durante un ataque sospechoso.
Mantén Windows y el software del servidor actualizados.
Usa backups regulares.
Usa contraseñas fuertes y, cuando sea posible, VPN o restricciones por IP.
26. Procedimiento rápido recomendado
Para un nuevo usuario, el procedimiento más simple es este:
Inicia Ermes Server Guard como administrador.
Completa el First Run Wizard.
Elige el tipo de servidor correcto.
Introduce las IPs confiables en la lista blanca.
Activa Trial o Pro.
Presiona Start monitoring.
Deja que el programa trabaje unos minutos.
Controla el panel en vivo.
Verifica los eventos de seguridad.
Activa las notificaciones Discord si el servidor debe monitorearse sin presencia constante.
Después de algunas horas, evalúa si el perfil es demasiado ligero o demasiado agresivo.
27. Cuándo contactar al soporte
Contacta al soporte si:
no sabes qué perfil elegir;
el firewall no aplica los bloqueos;
el servidor bloquea usuarios legítimos;
quieres configurar Ermes Server Guard para un entorno específico;
debes proteger un servidor con tráfico muy alto;
quieres usar Discord, informes o servicio Windows de forma continua;
tienes eventos Critical y no sabes cómo interpretarlos.
Cuando contactes al soporte, prepara:
versión del software;
tipo de servidor;
captura de pantalla del panel;
exportación de informe o logs;
IPs involucradas;
perfil activo;
descripción del problema.
28. Resumen final
Ermes Server Guard está pensado para hacer más simple el control de seguridad en servidores Windows.
La forma correcta de usarlo es:
elegir el perfil correcto;
proteger las IPs confiables con la lista blanca;
monitorear antes de aplicar reglas agresivas;
usar los eventos de seguridad para entender qué está ocurriendo;
exportar informes cuando sea necesario;
mantener siempre el servidor actualizado.
Usado correctamente, Ermes Server Guard puede ayudar a reducir tráfico no deseado, bloquear IPs sospechosas, identificar intentos de acceso y dar al usuario una visión más clara de la seguridad de su servidor.
Ermes Server Guard é um software para servidores Windows criado para ajudar o usuário a monitorar conexões suspeitas, tentativas de ataque e atividades anômalas, com possibilidade de bloqueio por meio do Windows Firewall.
O programa pode ser usado em diferentes tipos de servidores, por exemplo:
servidores web;
servidores RDP / área de trabalho remota;
servidores de banco de dados;
servidores de jogo;
servidores mistos com vários serviços ativos.
O Ermes Server Guard não substitui o firewall do datacenter, um serviço anti-DDoS profissional ou uma configuração correta do servidor. O objetivo dele é melhorar o controle local do servidor, detectar comportamentos suspeitos e aplicar bloqueios automáticos ou manuais quando configurado corretamente.
mostrar eventos de segurança com nível de gravidade;
enviar notificações desktop ou Discord;
usar perfis predefinidos conforme o tipo de servidor;
exportar relatórios e histórico de bloqueios;
manter a proteção ativa por meio de um serviço Windows, se instalado.
3. Limites importantes
O Ermes Server Guard não garante proteção total de 100%.
Em especial:
não consegue parar sozinho um grande ataque DDoS volumétrico antes que ele chegue ao servidor;
não corrige vulnerabilidades presentes em sites, CMS, plugins ou softwares instalados;
não substitui atualizações do Windows, backups, hardening e senhas seguras;
não deve ser configurado com regras agressivas demais sem testes, porque pode bloquear tráfego legítimo.
Use-o como uma ferramenta de monitoramento, resposta e proteção local, junto com as boas práticas normais de segurança.
4. Requisitos antes do uso
Antes de usar o Ermes Server Guard, verifique se:
o software é iniciado em um servidor Windows;
o usuário Windows possui permissões de administrador;
o Windows Firewall está ativo e funcionando;
o servidor tem acesso à Internet para licença, atualizações e notificações;
os IPs importantes são conhecidos antes de ativar bloqueios agressivos.
Exemplos de IPs que devem ser considerados confiáveis:
IP do proprietário do servidor;
IP do administrador;
IP do painel de controle;
IP do sistema de monitoramento;
IP de backup ou serviços internos.
5. Primeira inicialização
Inicie o Ermes Server Guard como administrador.
Na primeira inicialização, o assistente inicial pode aparecer. Esse procedimento serve para preparar uma configuração básica sem precisar alterar imediatamente todas as opções manualmente.
5.1 Diagnóstico inicial
A tela de diagnóstico verifica elementos importantes como:
estado do firewall;
disponibilidade dos dados GeoIP;
permissões de escrita na pasta de configuração;
inicialização com privilégios de administrador;
acesso às pastas de dados e logs.
Se algum item aparecer com erro, não ignore. O programa pode funcionar apenas parcialmente.
5.2 Escolha do tipo de servidor
Escolha o tipo de servidor mais próximo do seu caso real:
Tipo de servidor
Quando usar
RDP server
Servidor exposto principalmente por Área de Trabalho Remota
Web server
Sites, APIs, painéis, reverse proxy
Database server
SQL Server, MySQL, PostgreSQL, Redis
Game server
Servidor de jogo com tráfego de jogadores
Mixed server
Servidor com vários serviços ativos ao mesmo tempo
Advanced custom
Configuração manual avançada
A escolha aplica um perfil real nos bastidores. Mesmo assim, você pode alterar as configurações depois da primeira inicialização.
5.3 Portas prioritárias
As portas prioritárias indicam ao programa quais serviços são mais importantes para o seu servidor.
Exemplos comuns:
Serviço
Portas comuns
Web
80, 443, 8080, 8443
Banco de dados
1433, 3306, 5432, 6379
Servidor de jogo
27015, 27016, 7777, 7778
RDP
3389 ou porta RDP personalizada
As portas prioritárias não significam automaticamente que todo o resto será ignorado. Elas servem principalmente para dar mais importância ao tráfego relacionado aos serviços principais.
5.4 Whitelist inicial
Insira os IPs confiáveis que não devem ser tratados como suspeitos.
Formato recomendado:
127.0.0.1
::1
203.0.113.10
Evite inserir intervalos muito grandes se não tiver certeza. Uma whitelist ampla demais pode reduzir a proteção.
5.5 GeoIP
GeoIP permite ver país, rede e organização associados aos IPs.
Se os bancos de dados GeoIP estiverem presentes, a dashboard será mais clara e será possível usar melhor as funções baseadas em país ou ASN. Se estiverem ausentes, o programa ainda pode iniciar, mas algumas informações serão limitadas.
5.6 Notificações
Você pode habilitar:
notificações desktop;
notificações Discord por webhook.
As notificações desktop são úteis durante testes. As notificações Discord são mais adequadas se o servidor permanecer monitorado sem uma pessoa na frente da tela.
6. Licença e modos disponíveis
Abra a seção Services > Licensing.
Aqui você pode:
iniciar uma trial de 14 dias;
inserir e ativar uma licença Pro;
voltar ao modo Free.
6.1 Modo Free
O modo Free é limitado. Em geral permite bloqueio manual, mas não habilita todas as funções automáticas de análise e proteção.
6.2 Modo Trial
A trial permite testar as principais funções por um período limitado.
Inclui funções como:
monitoramento básico;
bloqueio automático;
eventos de segurança;
detecção de eventos Windows;
detecção de ataques web;
controle de arquivos críticos;
notificações.
6.3 Modo Pro
O modo Pro habilita as funções completas previstas pela licença, incluindo perfis avançados, exportação de relatórios, notificações Discord e atualizações.
7. Dashboard principal
A dashboard é a tela principal de trabalho.
A partir dela você pode:
iniciar ou parar o monitoramento;
aplicar um perfil;
ver as conexões ao vivo;
filtrar IP, porta, país, ASN ou motivo;
bloquear IPs manualmente;
desbloquear IPs;
exportar dados;
abrir os logs;
consultar o histórico de bloqueios;
verificar os eventos de segurança.
7.1 Iniciar o monitoramento
Pressione Start monitoring.
Quando o monitoramento está ativo, o programa começa a avaliar o tráfego e mostra os IPs na tabela ao vivo.
7.2 Parar o monitoramento
Pressione Stop monitoring.
O programa para de analisar novas conexões ao vivo. As regras de firewall já aplicadas podem permanecer ativas até o desbloqueio manual ou automático, conforme a configuração.
8. Perfis recomendados
A escolha do perfil é importante porque modifica limites, portas prioritárias e comportamento do monitoramento.
Perfil
Uso recomendado
rdp_strict
Servidores RDP expostos à Internet
web_balanced
Servidores web com tráfego normal
web_aggressive
Servidores web sob varreduras frequentes ou ataques leves
db_protected
Servidores com bancos de dados expostos ou muito sensíveis
game_server
Servidores de jogo com tráfego UDP/TCP dos jogadores
mixed_server
Servidor genérico com web, banco de dados e vários serviços
generic_aggressive
Ambiente sob forte tráfego suspeito, usar com prudência
custom
Configuração manual
Para a maioria dos usuários, o melhor perfil para começar é:
web_balanced para sites;
game_server para servidores de jogo;
rdp_strict para servidores com RDP exposto;
mixed_server quando o servidor hospeda vários serviços.
Use perfis agressivos somente depois de verificar que eles não bloqueiam usuários legítimos.
9. Filtros ao vivo
Os filtros ao vivo servem apenas para modificar o que você vê na tabela. Eles não alteram automaticamente o comportamento do firewall.
Você pode filtrar por:
IP;
porta;
país;
ASN / organização;
motivo;
estado;
somente IPs bloqueados.
Isso é útil quando há muitas conexões e você quer analisar apenas uma parte do tráfego.
10. Ações manuais em IPs
10.1 Bloquear um IP selecionado
Selecione uma linha na tabela ao vivo.
Pressione Block selected IP.
O programa aplica uma regra de firewall para bloquear aquele IP.
Use quando tiver certeza de que o IP é malicioso ou indesejado.
10.2 Desbloquear um IP
Selecione o IP bloqueado.
Pressione Unblock selected IP.
Use se um IP foi bloqueado por erro ou se deseja habilitá-lo novamente.
10.3 Desbloquear tudo
Pressione Unblock all somente se quiser remover todos os bloqueios gerenciados pelo programa.
Esta ação deve ser usada com atenção, principalmente durante um ataque.
10.4 Bloquear uma sub-rede /24
O botão Block selected /24 bloqueia uma rede inteira do tipo:
203.0.113.0/24
Essa função é mais forte do que bloquear um único IP. Use somente quando vários IPs da mesma rede estiverem gerando tráfego suspeito.
11. Smart Subnet Guard
O Smart Subnet Guard foi criado para reduzir falsos positivos ao bloquear redes inteiras.
O programa pode promover um bloqueio para o nível /24 somente quando percebe vários IPs distintos da mesma rede já confirmados como suspeitos ou bloqueados.
Isso é especialmente útil para servidores de jogo, porque um único jogador com vários clientes a partir do mesmo IP não deveria causar automaticamente o bloqueio de toda a sub-rede.
Configurações principais:
Opção
Significado
Detection window
Janela temporal de análise
Min attacking IPs
Número mínimo de IPs distintos na mesma rede
Min confirmed auto-blocked IPs
Número mínimo de IPs já bloqueados automaticamente
Min suspicious score
Pontuação mínima necessária
12. Blacklist por país
A blacklist por país permite bloquear ou gerenciar tráfego com base no país.
Use com prudência. Bloquear países inteiros pode reduzir ataques e varreduras, mas também pode impedir o acesso de usuários legítimos, VPNs, proxies ou serviços externos.
Para ver os países bloqueados, use:
Protection > View blocked countries
13. IPs confiáveis e whitelist
A whitelist serve para proteger IPs confiáveis contra bloqueios acidentais.
Abra:
Protection > Trusted IPs
Adicione apenas IPs realmente confiáveis, como:
IP do administrador;
IP do proprietário;
IP do sistema de backup;
IP de monitoramento;
IP do painel da empresa.
Não insira IPs desconhecidos e não use sub-redes amplas se não souber exatamente o que está autorizando.
14. Eventos de segurança
A seção Security Events mostra eventos relevantes para a segurança.
Pode incluir:
logins com falha;
tentativas de força bruta;
password spraying;
varreduras web;
ataques web;
alterações em arquivos críticos;
criação ou exclusão de arquivos monitorados;
eventos críticos do sistema;
logins bem-sucedidos após atividade suspeita.
Os eventos são classificados por gravidade:
Gravidade
Significado
Low
Evento informativo ou de baixo risco
Medium
Evento a verificar
High
Evento provavelmente perigoso
Critical
Evento grave ou combinação de vários sinais
Se aparecerem eventos High ou Critical, verifique IP, porta, motivo e histórico antes de decidir bloquear ou desbloquear.
15. Motor de análise de ameaças
O Threat Analysis Engine combina diferentes sinais, por exemplo eventos Windows, web e arquivos críticos, para decidir se um comportamento é normal, suspeito ou perigoso.
Parâmetros principais:
Opção
Significado
Aggregation window
Intervalo em que os eventos são combinados
Warning threshold
Limite para aviso
Block threshold
Limite para bloqueio
Critical threshold
Limite para evento crítico
Success-after-attack window
Janela em que um login bem-sucedido após ataques é considerado arriscado
Não reduza demais os limites se o servidor tiver tráfego alto ou muitos usuários legítimos.
16. Proteção de arquivos críticos
A função Critical file protection verifica alterações em arquivos importantes.
Por padrão, ela pode monitorar extensões como:
.php, .exe, .dll, .json, .ini
Caminhos típicos:
C:/xampp/htdocs
C:/MuServer
C:/inetpub/wwwroot
Essa função cria uma baseline SHA256 dos arquivos considerados confiáveis. Se um arquivo for modificado, criado ou excluído, o programa pode gerar um evento.
Quando recriar a baseline
Recrie a baseline quando tiver feito alterações legítimas, por exemplo:
atualização do site;
atualização do servidor de jogo;
alteração de configurações;
substituição de arquivo autorizada.
Use:
Advanced tools > Rebuild file integrity baseline
Não recrie a baseline imediatamente após um ataque suspeito, porque você pode tornar “confiáveis” arquivos comprometidos.
17. Proteção contra força bruta RDP
O Ermes Server Guard pode monitorar tentativas de acesso RDP com falha.
A porta RDP pode ser:
detectada automaticamente pelo registro do Windows;
definida manualmente se necessário.
Configuração recomendada: mantenha ativo Auto-detect RDP port from Windows registry, salvo casos específicos.
Se o servidor usa uma porta RDP personalizada, verifique se ela é detectada corretamente.
18. Notificações
Abra:
Services > Notifications
Você pode ativar:
notificações desktop;
notificações Discord;
eventos específicos para notificar.
Eventos notificáveis:
bloqueio automático;
bloqueio manual;
desbloqueio;
bloqueio de país;
bloqueio de sub-rede;
erro de firewall;
erro GeoIP;
nível de ameaça alto;
web scan;
web attack;
arquivo modificado;
arquivo criado;
arquivo excluído.
Depois de configurar o Discord, use Test Discord para verificar se o webhook funciona.
19. Atualizações
Abra:
Services > Updates
Aqui você pode:
verificar a versão disponível;
instalar uma atualização;
abrir a URL da release, se existir.
Antes de atualizar, é recomendado:
exportar ou anotar as configurações importantes;
fechar atividades desnecessárias;
verificar se o servidor não está em uma fase crítica;
reiniciar o programa depois da atualização, se solicitado.
20. Logs e relatórios
O Ermes Server Guard mantém logs operacionais e histórico de eventos.
Na dashboard você pode usar:
Open Logs;
Open data folder;
Export TXT;
Export CSV;
Export security JSON;
Export summary report.
Os relatórios são úteis para:
verificar o que foi bloqueado;
enviar evidências ao cliente ou provedor;
analisar tráfego recorrente;
comparar eventos antes e depois de uma alteração.
21. Serviço Windows em segundo plano
Se a versão instalada incluir o serviço Windows, o Ermes Server Guard pode continuar protegendo o servidor mesmo quando a GUI está minimizada.
O serviço é útil para servidores sempre online.
Quando o serviço está ativo:
o motor de proteção trabalha em segundo plano;
os eventos são registrados nos logs;
a GUI pode ser usada para verificar status, logs e configurações.
Se você não tem certeza de que o serviço está instalado, verifique com o suporte ou procure nos serviços Windows por:
Ermes Server Guard IDS/IPS Service
22. Uso diário recomendado
Todos os dias
Verifique a dashboard ao vivo.
Confira possíveis IPs bloqueados.
Verifique eventos High ou Critical.
Confira notificações importantes.
Todas as semanas
Exporte um relatório se o servidor recebeu tráfego suspeito.
Verifique se há atualizações.
Confira se a whitelist ainda está correta.
Verifique possíveis bloqueios por país ou sub-rede.
Depois de mudanças importantes no servidor
Verifique as portas prioritárias.
Atualize a whitelist se o IP do administrador mudar.
Recrie a baseline de arquivos somente após alterações legítimas.
Execute um diagnóstico.
23. Configuração recomendada por tipo de servidor
23.1 Servidor web
Perfil recomendado:
web_balanced
Portas prioritárias:
80, 443, 8080, 8443
Ative:
Web attack detector;
Threat analysis engine;
Critical file protection em pastas web;
notificações para web scan e web attack.
Use web_aggressive somente se o servidor recebe muitas varreduras ou ataques repetidos.
23.2 Servidor RDP
Perfil recomendado:
rdp_strict
Portas prioritárias:
3389
Ou a porta RDP real, se personalizada.
Ative:
RDP brute-force detection;
Windows Event Monitor;
notificações para failed login e brute force.
Dica: use senhas fortes, limite os IPs que podem acessar o RDP e considere uma VPN.
23.3 Servidor de banco de dados
Perfil recomendado:
db_protected
Portas prioritárias:
1433, 3306, 5432, 6379
Não exponha o banco de dados publicamente se não for necessário.
23.4 Servidor de jogo
Perfil recomendado:
game_server
Portas prioritárias comuns:
27015, 27016, 7777, 7778
Para servidores de jogo, é importante não usar limites agressivos demais. Alguns jogos geram muitas conexões legítimas ou tráfego UDP intenso.
Mantenha o Smart Subnet Guard ativo para reduzir o risco de bloquear redes inteiras por engano.
23.5 Servidor misto
Perfil recomendado:
mixed_server
Portas prioritárias típicas:
80, 443, 8080, 8443, 1433, 3306, 5432, 6379
É o perfil mais adequado quando você ainda não sabe qual categoria descreve melhor o servidor.
24. Erros comuns e soluções
O programa não bloqueia IPs
Verifique:
inicialização como administrador;
Windows Firewall ativo;
licença Trial ou Pro para funções automáticas;
perfil aplicado corretamente;
logs do firewall.
Vejo poucos dados na dashboard
Verifique:
filtros ao vivo ativos;
monitoramento iniciado;
portas prioritárias configuradas;
tráfego real no servidor;
modo “Blocked only”.
Um usuário legítimo foi bloqueado
Procure o IP no histórico.
Verifique o motivo do bloqueio.
Desbloqueie o IP.
Se for confiável, adicione-o à whitelist.
Se isso acontecer com frequência, aumente levemente os limites ou use um perfil menos agressivo.
Chegam muitas notificações
Vá em Services > Notifications e desative os eventos menos importantes.
O controle de arquivos gera muitos eventos
Verifique:
caminhos monitorados;
extensões monitoradas;
pastas ignoradas;
intervalo de varredura;
baseline de integridade de arquivos.
Em pastas grandes, é melhor usar um intervalo maior para evitar carga excessiva.
25. Boas práticas
Sempre inicie o programa como administrador.
Use a whitelist antes de ativar perfis agressivos.
Comece por um perfil equilibrado.
Verifique o histórico antes de bloquear uma sub-rede.
Não bloqueie países inteiros sem motivo.
Não reduza demais os limites.
Não recrie a baseline de arquivos durante um ataque suspeito.
Mantenha o Windows e os softwares do servidor atualizados.
Use backups regulares.
Use senhas fortes e, quando possível, VPN ou restrições por IP.
26. Procedimento rápido recomendado
Para um novo usuário, o procedimento mais simples é este:
Inicie o Ermes Server Guard como administrador.
Complete o First Run Wizard.
Escolha o tipo de servidor correto.
Insira os IPs confiáveis na whitelist.
Ative Trial ou Pro.
Pressione Start monitoring.
Deixe o programa trabalhar por alguns minutos.
Verifique a dashboard ao vivo.
Confira os eventos de segurança.
Ative notificações Discord se o servidor precisar ser monitorado sem presença constante.
Depois de algumas horas, avalie se o perfil está leve demais ou agressivo demais.
27. Quando contatar o suporte
Contate o suporte se:
você não sabe qual perfil escolher;
o firewall não aplica os bloqueios;
o servidor bloqueia usuários legítimos;
você quer configurar o Ermes Server Guard para um ambiente específico;
precisa proteger um servidor com tráfego muito alto;
quer usar Discord, relatórios ou serviço Windows de forma contínua;
tem eventos Critical e não sabe como interpretá-los.
Quando contatar o suporte, prepare:
versão do software;
tipo de servidor;
screenshot da dashboard;
exportação de relatório ou logs;
IPs envolvidos;
perfil ativo;
descrição do problema.
28. Resumo final
O Ermes Server Guard foi pensado para tornar mais simples o controle de segurança em servidores Windows.
A forma correta de usá-lo é:
escolher o perfil certo;
proteger IPs confiáveis com a whitelist;
monitorar antes de aplicar regras agressivas;
usar os eventos de segurança para entender o que está acontecendo;
exportar relatórios quando necessário;
manter sempre o servidor atualizado.
Usado corretamente, o Ermes Server Guard pode ajudar a reduzir tráfego indesejado, bloquear IPs suspeitos, identificar tentativas de acesso e dar ao usuário uma visão mais clara da segurança do servidor.