У меня есть небольшой сервер за маршрутизатором, который работает под управлением Windows 10. Довольно легко настроить удаленный рабочий стол напрямую в Интернет и открыть нужный порт, изменив конфигурацию маршрутизатора.

Вопрос: Должен ли я знать о проблемах безопасности, связанных с этим? Я имею в виду, что мой сервер доступен, по крайней мере , каждому, кто знает правильную комбинацию имени пользователя и пароля.

MS просто говорит

Если вы хотите ограничить доступ к вашему компьютеру, разрешите доступ только с помощью проверки подлинности на уровне сети (NLA). Когда вы включаете эту опцию, пользователи должны аутентифицировать себя в сети, прежде чем они смогут подключиться к вашему ПК. Разрешение подключений только с компьютеров, на которых работает удаленный рабочий стол с NLA, является более безопасным методом проверки подлинности, который может помочь защитить ваш компьютер от злонамеренных пользователей и программного обеспечения. Чтобы узнать больше о NLA и удаленном рабочем столе, ознакомьтесь с разделом Настройка NLA для подключений RDS.

|источник

2 ответа2

4

Ни один серьезный сетевой администратор не выставит RDP-сервер напрямую в Интернет.

Если в нем есть дыры / задние двери, это не только "игра окончена" для части системы (то есть точка перегиба / поле перехода), но это также возможность для DoS-атак и рабочего стола (-ий) для снятия отпечатков пальцев в локальной сети. раздавать ненужную информацию.

В зависимости от сервера и клиента RDP, также может быть возможно выполнить атаку MITM (человек посередине). Это можно сделать различными способами, включая принудительное понижение версии протокола или использование небезопасной криптографии. Вы можете найти https://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/ интересным.

Благоразумный оператор может настроить VPN и разрешить только удаленный доступ RDP через него, чтобы обеспечить еще один уровень безопасности, управления доступом, аудита и контроля.

|источник
2

Удаленный рабочий стол Microsoft использует шифрование, поэтому связь достаточно защищена. Слабым местом является атака грубой силы против вашего имени пользователя и пароля.

Благодаря тому, что хакеры постоянно сканируют Интернет на наличие слабых мест, а также благодаря количеству известных (и неизвестных) эксплойтов, гораздо лучше установить как можно больше средств защиты (но не настолько, чтобы чрезмерно усложнять доступ).

Для защиты RDP вы можете сделать следующее:

  1. Измените порт по умолчанию, который прослушивает удаленный рабочий стол

  2. Сильные полномочия
    Используйте нестандартное имя пользователя и длинный и сложный пароль

  3. Ограниченные учетные записи пользователей
    Строго ограничьте пользователей, которые могут использовать RDP, запустив secpol.msc и перейдя в « Локальные политики»> "Назначение прав пользователя", дважды щелкните "Разрешить вход в систему через службы удаленных рабочих столов" и удалите все отображаемые группы, затем добавьте одного пользователя.

  4. Высокий уровень безопасности
    Запустите gpedit.msc и перейдите к Политике локального компьютера> Административные шаблоны> Компоненты Windows> Службы удаленных рабочих столов> Узел сеансов удаленных рабочих столов> Безопасность и установите:

    • "Установить уровень шифрования клиентского соединения" -> "Включено" и "Высокий уровень", чтобы ваши сеансы были защищены 128-битным шифрованием
    • «Требовать использования определенного уровня безопасности для удаленных (RDP) соединений» -> SSL
    • "Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети" -> Включено

  5. Установить политику блокировки учетной записи
    Чтобы заблокировать учетную запись на некоторое время после нескольких неправильных предположений, выберите "Администрирование"> "Локальная политика безопасности"> "Политики учетной записи"> "Политики блокировки учетной записи" и задайте значения для всех трех параметров (3 недопустимых попытки с продолжительностью блокировки 3 минуты) ).

  6. следить за входом в свой ПК
    Периодически заходите в "Просмотр событий" в « Журналы приложений и служб»> "Microsoft"> "Windows"> «TerminalServices-LocalSessionManger»> "Операционный", чтобы просмотреть информацию для входа.

  7. Поддерживать высокий уровень UAC

  8. Создать VPN-сервер
    Вы также можете перейти к настройке VPN-сервера (ссылка ), что добавит еще один уровень безопасности.

У меня был контакт на нашем сайте с плакатами, в которых реализованы все вышеперечисленные пункты, и это кажется достаточной защитой. С учетом всех этих мер предосторожности атака грубой силой становится практически невозможной, поэтому единственной оставшейся угрозой является некоторый подвиг. Но так как никакие эксплойты никогда не были обнаружены при входе через VPN или при входе в RDP, я думаю, что эта установка достаточно безопасна.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .