News:

Измеряй микрометром. Отмечай мелом. Отрубай топором. Правило точности Рэя

Main Menu

Защита от перебора паролей по RDP после вирусной атаки

Started by Призрак, 29 September 2020, 21:02

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Призрак

Здравствуйте!

Столкнулся я с такой проблемой, как перебор паролей, на RDP подключении. Когда мне отдали эти шлюзы после предыдущего администратора, я пришёл в ужас, долго за голову хватался! В Kaspersky Security Center все они были красные, более того, зайдя на шлюзы, я с ужасом обнаружил, что защиты просто нет! Антивирусы все уничтожены, а там зоопарк сплошной. Майнеры, рассылка спама, чего там только не было. И подлянки, как же без них. Программа, которую я пытался запустить, для очистки, мгновенно удалялась, антивирус вообще невозможно было исправить, потому - что там были специальные библиотеки, для скрытия папок антивируса, антивирусы невозможно было поставить даже в другую папку.

Сколько труда мне стоило привести всё в порядок. Оказалось, что антивирус для серверов (!!!) не имеет даже нормальной самозащиты, так что свалить его может школьник, не то, что матёрый хакер. В политиках KSC нигде этого не настраивается. Пришлось убирать все хитрые вещи, вроде скрытых папок, заданий, процессов, вирусов, троянов, майнеров и прочего хлама. Поставил программы, все обновления, затянул гайки в политике KSC, защитил всё, что только можно защитить, теперь антивирус невозможно удалить, выключить, повредить. Но постоянную проверку зарядил, каждую ночь, полную, чтобы утром читать отчёты.

Я создал GPO Active Directory, специально для настроек RDP, выставил там вход в систему по RDP только определённых пользователей, запретил буфер обмена в RDP, установил количество неверных аутентификаций 3, после чего сделал 120 минут сброс счётчика блокировки и блокировку. Также изменил параметр пустой пароль только для консольного входа (у меня нет пустых паролей но читал, что это нужно), дал указание не хранить последнюю учётную запись и спрятать пользователей с экрана блокировки. Политика применилась, это я заметил по тому, что для выбранных мною серверов перестал работать буфер обмена.

Но странно другое Я не вижу, чтобы эти пользователи блокировались. Всё время идёт долбёжка, теми же самыми учётными записями, которых у меня там нет (ADMIN, OPERATOR, SUPPORT и.т.д). В журнале то и дело появляются события. По идее должна быть блокировка, но её нет, так как эти записи появляются снова и снова. Я переименовал учётную запись администратора, порт на RDP поменял, всё равно пытаются залезть.

Видел хорошую статью на этом сайте, где установить сертификат, центр сертификации у меня есть, я сделаю. Но важно мне ещё одно. Брандмауэр Windows не работает, так как управляет всем программа Kaspersky Endpoint Security 11.4. Я не могу, не знаю, как там можно заблокировать доступ с внешнего, белого адреса к удалённому рабочему столу. Там есть сетевой экран. Я пытался запретить сетевую активность для работы удалённого рабочего стола, это не помогает, увы. Как был доступ, так и есть. Пока не могу разобраться.

Уваров А.С.

Quote from: Призрак on 29 September 2020, 21:02Но странно другое Я не вижу, чтобы эти пользователи блокировались. Всё время идёт долбёжка, теми же самыми учётными записями, которых у меня там нет (ADMIN, OPERATOR, SUPPORT и.т.д).

Нельзя заблокировать то, чего нет. Политика применяется только для существующих пользователей.

Quote from: Призрак on 29 September 2020, 21:02Я переименовал учётную запись администратора, порт на RDP поменял, всё равно пытаются залезть.

На любой сервис открытый наружу попытаются залезть. Нужно принимать этот факт как данность.

Quote from: Призрак on 29 September 2020, 21:02Я не могу, не знаю, как там можно заблокировать доступ с внешнего, белого адреса к удалённому рабочему столу.

Никак, потому что внешний адрес в пакетах фигурировать не должен. В зависимости от настройки проброса портов (я так понимаю, что проброшен порт, а не сам RDP-сервер смотрит в интернет) в качестве адреса источника пакета будет либо внутренний адрес шлюза, либо реальный адрес клиента откуда-то из интернета.

Боитесь выставлять RDP наружу - заверните его в VPN. А прекратить доступ можно просто и быстро - уберите проброс портов.


Призрак

Увы, порты не проброшены, напрямую RDP смотрит, в Интернет. Я собираюсь в будущем менять шлюзы на Windows, но пока нужно обеспечить работоспособность этих. Жаль, что нельзя закрыть, у меня VPN уже есть, по нему тоже идёт подключение, но я никак не могу закрыть снаружи RDP, вот в чём беда.

Уваров А.С.

 А в чем тогда проблема? Закройтесь брандмауэром от внешнего мира. Касперский вполне вменяемый продукт, с хорошей документацией.