Здравствуйте!
Столкнулся я с такой проблемой, как перебор паролей, на RDP подключении. Когда мне отдали эти шлюзы после предыдущего администратора, я пришёл в ужас, долго за голову хватался! В Kaspersky Security Center все они были красные, более того, зайдя на шлюзы, я с ужасом обнаружил, что защиты просто нет! Антивирусы все уничтожены, а там зоопарк сплошной. Майнеры, рассылка спама, чего там только не было. И подлянки, как же без них. Программа, которую я пытался запустить, для очистки, мгновенно удалялась, антивирус вообще невозможно было исправить, потому - что там были специальные библиотеки, для скрытия папок антивируса, антивирусы невозможно было поставить даже в другую папку.
Сколько труда мне стоило привести всё в порядок. Оказалось, что антивирус для серверов (!!!) не имеет даже нормальной самозащиты, так что свалить его может школьник, не то, что матёрый хакер. В политиках KSC нигде этого не настраивается. Пришлось убирать все хитрые вещи, вроде скрытых папок, заданий, процессов, вирусов, троянов, майнеров и прочего хлама. Поставил программы, все обновления, затянул гайки в политике KSC, защитил всё, что только можно защитить, теперь антивирус невозможно удалить, выключить, повредить. Но постоянную проверку зарядил, каждую ночь, полную, чтобы утром читать отчёты.
Я создал GPO Active Directory, специально для настроек RDP, выставил там вход в систему по RDP только определённых пользователей, запретил буфер обмена в RDP, установил количество неверных аутентификаций 3, после чего сделал 120 минут сброс счётчика блокировки и блокировку. Также изменил параметр пустой пароль только для консольного входа (у меня нет пустых паролей но читал, что это нужно), дал указание не хранить последнюю учётную запись и спрятать пользователей с экрана блокировки. Политика применилась, это я заметил по тому, что для выбранных мною серверов перестал работать буфер обмена.
Но странно другое Я не вижу, чтобы эти пользователи блокировались. Всё время идёт долбёжка, теми же самыми учётными записями, которых у меня там нет (ADMIN, OPERATOR, SUPPORT и.т.д). В журнале то и дело появляются события. По идее должна быть блокировка, но её нет, так как эти записи появляются снова и снова. Я переименовал учётную запись администратора, порт на RDP поменял, всё равно пытаются залезть.
Видел хорошую статью на этом сайте, где установить сертификат, центр сертификации у меня есть, я сделаю. Но важно мне ещё одно. Брандмауэр Windows не работает, так как управляет всем программа Kaspersky Endpoint Security 11.4. Я не могу, не знаю, как там можно заблокировать доступ с внешнего, белого адреса к удалённому рабочему столу. Там есть сетевой экран. Я пытался запретить сетевую активность для работы удалённого рабочего стола, это не помогает, увы. Как был доступ, так и есть. Пока не могу разобраться.
