2

У меня дома установлен 64-битный компьютер с Windows 7, который я использую как "серверный" компьютер. Он работает Windows Media Center и обеспечивает телевидение для каждой комнаты в моем доме. Он также служит общим хранилищем для дома, предоставляя место для резервных копий Windows и любых файлов, которые члены моей семьи хотят хранить дубликаты.

Этот компьютер также служит моим персональным компьютером. У меня есть собственная учетная запись, доступ к которой осуществляется через RDP. Когда я захочу использовать ПК, я возьму семейный ноутбук или компьютер моей жены и перенесу RDP в эту коробку Windows 7 для своей учетной записи, рабочего стола, приложений и т.д. Я также могу RDP в эту машину из-за пределов моего дома, используя мой общедоступный IP-адрес.

Недавно меня взломали. Журналы RDP показывают, что кто-то вошел как я. Они открыли Chrome и нашли сохраненные пароли в браузере. Их, конечно, можно извлечь через консоль разработчика в Chrome. Это привело к мошенническим платежам в размере 10 000 долларов США через мои учетные записи PayPal и Google, которые, в свою очередь, затронули мои чеки и кредитные карты.

Мой пароль содержал буквы, цифры и символы. Как кто-нибудь мог сделать это? Что я могу сделать, чтобы повысить безопасность в будущем? Пока я не могу запустить сканирование на наличие вирусов и вредоносных программ, а также HijackThis и т.д. Я не боюсь снова подключить сетевой кабель. Мне не нужен настоящий Windows Server, потому что я бы потерял MCE, и в противном случае я использую только общее хранилище.

1 ответ1

11

Как кто-нибудь мог сделать это?

Там может быть много возможных способов в зависимости от вашей настройки. Не просматривая журналы затронутых устройств или конфигурацию сети, ответить на этот вопрос будет в основном догадкой и слишком широким для обсуждения. Если у вас есть какие-либо конкретные журналы, схема вашей установки и т.д., Можно определить возможные точки атаки и, возможно, сузить ответ на них.

Что я могу сделать, чтобы повысить безопасность в будущем?

Убедитесь, что аутентификация на уровне сети включена

Windows 7 по умолчанию обеспечивает проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, поскольку NLA обеспечивает дополнительный уровень аутентификации перед установлением соединения. Вы должны настраивать серверы удаленного рабочего стола только для разрешения соединений без NLA, если вы используете клиенты удаленного рабочего стола на других платформах, которые его не поддерживают.

Убедитесь, что у вас есть последние обновления Windows и обновления программного обеспечения безопасности

Новые уязвимости обнаруживаются каждый день, поэтому полезно убедиться, что у вас установлены последние обновления Windows и все программное обеспечение для обеспечения безопасности, которое вы используете. Например, были такие уязвимости, как это: Уязвимость в RDP делает возможным удаленное выполнение кода (3073094) (это затронуло Windows 7 x64, о которой вы упоминали в вопросе). Если у вас нет соответствующих обновлений, кто-то может использовать эти уязвимости, чтобы получить доступ к вашему ПК.

Ограничить доступ с помощью брандмауэров

Используйте брандмауэры (как программные, так и аппаратные, если они доступны), чтобы ограничить доступ к портам прослушивания удаленного рабочего стола (по умолчанию TCP 3389).

Ограничить пользователей, которые могут войти в систему с помощью удаленного рабочего стола

По умолчанию все администраторы могут войти в удаленный рабочий стол. Если у вас есть несколько учетных записей администратора на вашем компьютере, вы должны ограничить удаленный доступ только теми учетными записями, которые в нем нуждаются. Если удаленный рабочий стол не используется для системного администрирования, удалите все административные права доступа через RDP и разрешите только учетные записи пользователей, которым требуется служба RDP. Для пользователей, которые управляют многими машинами удаленно, удалите локальную учетную запись администратора из доступа RDP at и добавьте техническую группу.

  1. Нажмите StartProgramsAdministrative ToolsLocal Security Policy .
  2. В разделе « Local Policies нажмите « User Rights Assignment и перейдите к « Allow logon through Terminal Services . Или Allow logon through Remote Desktop Services .
  3. Удалите группу «Администраторы» и покиньте группу «Пользователи удаленного рабочего стола».
  4. Используйте панель управления системой для добавления пользователей в группу «Пользователи удаленного рабочего стола».

Установить политику блокировки учетной записи

Установив на компьютере блокировку учетной записи на некоторое время после ряда неверных догадок, вы поможете хакерам не использовать средства автоматического подбора пароля для получения доступа к вашей системе (это называется атакой методом "грубой силы"), Чтобы установить политику блокировки учетной записи:

  1. Перейдите в StartProgramsAdministrative ToolsLocal Security Policy .
  2. В разделе « Account Policies нажмите « Account Lockout Policies .
  3. Установите значения для всех трех вариантов. 3 недопустимых попытки с продолжительностью блокировки 3 минуты являются разумным выбором.

См. Политику блокировки учетной записи для деталей.

Изменить порт прослушивания для удаленного рабочего стола

Изменение порта прослушивания поможет "скрыть" удаленный рабочий стол от хакеров, которые сканируют сеть на наличие компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает защиту от новейших червей RDP, таких как Morto. Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь сделать это, если вы не знакомы с реестром Windows и TCP/IP):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

Измените порт прослушивания с 3389 на другое и не забудьте обновить все правила брандмауэра новым портом.

Пожалуйста, обратите внимание: хотя этот подход полезен, именно безопасность через неизвестность является не самым надежным подходом к безопасности. Вы должны убедиться, что вы также используете другие методы для ограничения доступа.

Используйте шлюзы RDP, если это возможно

Настоятельно рекомендуется использовать шлюз RDP. Это, однако, должно быть установлено на серверной ОС. Он встроен в Windows Server 2008 и 2012. Он позволяет жестко ограничить доступ к портам удаленного рабочего стола, поддерживая удаленные подключения через один сервер "Шлюз". При использовании сервера шлюза RD все службы удаленного рабочего стола на вашем рабочем столе и рабочих станциях должны быть ограничены, чтобы разрешить доступ только из шлюза RD. Сервер шлюза удаленных рабочих столов прослушивает запросы удаленного рабочего стола по HTTPS (порт 443) и подключает клиента к службе удаленного рабочего стола на целевом компьютере.

Есть много онлайн-документов для настройки этого. Официальная документация здесь: Установка RD Gateway

Установка настройки службы ролей в основном соответствует описанию; Однако рекомендуется использовать сертификат. Использование самоподписанного сертификата - это нормально для тестирования.

Настройка вашего клиента для использования вашего шлюза RD проста. Официальная документация для MS Client находится здесь: Настройка параметров подключения к удаленному рабочему столу для шлюза удаленного рабочего стола

Туннельные подключения к удаленному рабочему столу через IPSec или SSH, если это возможно

Если использование шлюза удаленных рабочих столов невозможно, вы можете добавить дополнительный уровень аутентификации и шифрования путем туннелирования сеансов удаленного рабочего стола через IPSec или SSH. IPSec встроен во все операционные системы Windows начиная с Windows 2000, но его использование и управление значительно улучшены в Windows Vista/7/2008 (см. IPsec). Если сервер SSH доступен, вы можете использовать туннелирование SSH для подключений к удаленному рабочему столу. См. Туннелирование удаленного рабочего стола через SSH с PuTTY, Создание туннеля SSH для удаленного рабочего стола и как туннелировать удаленный рабочий стол Windows через ssh с помощью linux box? для некоторых примеров.

Используйте существующие инструменты управления для регистрации и настройки RDP

Использование других компонентов, таких как VNC или PCAnywhere, не рекомендуется, поскольку они могут шифровать сеансы, как с RDP. RDP также обладает преимуществом подхода централизованного управления через GPO (если он используется в домене, что может быть не так в вашем сценарии). Когда это возможно, используйте объекты групповой политики (если это возможно) или другие средства управления конфигурацией Windows, чтобы обеспечить согласованную и безопасную конфигурацию RDP на всех ваших ПК в домашних условиях.

Обеспечивая использование шлюза RDP, вы также получаете третий уровень аудита, который легче читать, чем просматривать все на целевом ПК. Этот тип журнала может значительно облегчить мониторинг того, как и когда RDP используется на всех компьютерах в вашей настройке, в случае возникновения другого события.

Если возможно, используйте двухфакторную аутентификацию

Рассмотрите возможность использования подхода двухфакторной аутентификации. Шлюзы RD предоставляют простой механизм управления аутентификацией с помощью двухфакторных смарт-карт на основе сертификатов. Другие два факторных подхода требуют другого подхода на самом хосте удаленного рабочего стола, например, YubiKey, RSA.

Дополнительная безопасность с защитой доступа к сети (NAP)

Вы также можете исследовать использование защиты доступа к сети (NAP) со шлюзом удаленных рабочих столов (на серверной ОС), однако эта технология и стандарт еще недостаточно разработаны или надежны. Многие клиенты не будут работать, если вы обеспечите это, хотя, следуя документации, вы можете провести аудит системы, чтобы убедиться, что она считает, что клиенты соответствуют требованиям безопасности.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .