26 ноября 2020, 12:02

Цитата дня:

Всегда выбирайте самый трудный путь - на нем вы не встретите конкурентов. Шарль де Голль


Защита от перебора паролей по RDP после вирусной атаки

Автор Призрак, 29 сентября 2020, 21:02

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Призрак

29 сентября 2020, 21:02 Последнее редактирование: 29 сентября 2020, 21:05 от Призрак
Здравствуйте!

Столкнулся я с такой проблемой, как перебор паролей, на RDP подключении. Когда мне отдали эти шлюзы после предыдущего администратора, я пришёл в ужас, долго за голову хватался! В Kaspersky Security Center все они были красные, более того, зайдя на шлюзы, я с ужасом обнаружил, что защиты просто нет! Антивирусы все уничтожены, а там зоопарк сплошной. Майнеры, рассылка спама, чего там только не было. И подлянки, как же без них. Программа, которую я пытался запустить, для очистки, мгновенно удалялась, антивирус вообще невозможно было исправить, потому - что там были специальные библиотеки, для скрытия папок антивируса, антивирусы невозможно было поставить даже в другую папку.

Сколько труда мне стоило привести всё в порядок. Оказалось, что антивирус для серверов (!!!) не имеет даже нормальной самозащиты, так что свалить его может школьник, не то, что матёрый хакер. В политиках KSC нигде этого не настраивается. Пришлось убирать все хитрые вещи, вроде скрытых папок, заданий, процессов, вирусов, троянов, майнеров и прочего хлама. Поставил программы, все обновления, затянул гайки в политике KSC, защитил всё, что только можно защитить, теперь антивирус невозможно удалить, выключить, повредить. Но постоянную проверку зарядил, каждую ночь, полную, чтобы утром читать отчёты.

Я создал GPO Active Directory, специально для настроек RDP, выставил там вход в систему по RDP только определённых пользователей, запретил буфер обмена в RDP, установил количество неверных аутентификаций 3, после чего сделал 120 минут сброс счётчика блокировки и блокировку. Также изменил параметр пустой пароль только для консольного входа (у меня нет пустых паролей но читал, что это нужно), дал указание не хранить последнюю учётную запись и спрятать пользователей с экрана блокировки. Политика применилась, это я заметил по тому, что для выбранных мною серверов перестал работать буфер обмена.

Но странно другое Я не вижу, чтобы эти пользователи блокировались. Всё время идёт долбёжка, теми же самыми учётными записями, которых у меня там нет (ADMIN, OPERATOR, SUPPORT и.т.д). В журнале то и дело появляются события. По идее должна быть блокировка, но её нет, так как эти записи появляются снова и снова. Я переименовал учётную запись администратора, порт на RDP поменял, всё равно пытаются залезть.

Видел хорошую статью на этом сайте, где установить сертификат, центр сертификации у меня есть, я сделаю. Но важно мне ещё одно. Брандмауэр Windows не работает, так как управляет всем программа Kaspersky Endpoint Security 11.4. Я не могу, не знаю, как там можно заблокировать доступ с внешнего, белого адреса к удалённому рабочему столу. Там есть сетевой экран. Я пытался запретить сетевую активность для работы удалённого рабочего стола, это не помогает, увы. Как был доступ, так и есть. Пока не могу разобраться.

Уваров А.С.

Но странно другое Я не вижу, чтобы эти пользователи блокировались. Всё время идёт долбёжка, теми же самыми учётными записями, которых у меня там нет (ADMIN, OPERATOR, SUPPORT и.т.д).
Нельзя заблокировать то, чего нет. Политика применяется только для существующих пользователей.

Я переименовал учётную запись администратора, порт на RDP поменял, всё равно пытаются залезть.
На любой сервис открытый наружу попытаются залезть. Нужно принимать этот факт как данность.

Я не могу, не знаю, как там можно заблокировать доступ с внешнего, белого адреса к удалённому рабочему столу.
Никак, потому что внешний адрес в пакетах фигурировать не должен. В зависимости от настройки проброса портов (я так понимаю, что проброшен порт, а не сам RDP-сервер смотрит в интернет) в качестве адреса источника пакета будет либо внутренний адрес шлюза, либо реальный адрес клиента откуда-то из интернета.

Боитесь выставлять RDP наружу - заверните его в VPN. А прекратить доступ можно просто и быстро - уберите проброс портов.


Призрак

Увы, порты не проброшены, напрямую RDP смотрит, в Интернет. Я собираюсь в будущем менять шлюзы на Windows, но пока нужно обеспечить работоспособность этих. Жаль, что нельзя закрыть, у меня VPN уже есть, по нему тоже идёт подключение, но я никак не могу закрыть снаружи RDP, вот в чём беда.

Уваров А.С.

 А в чем тогда проблема? Закройтесь брандмауэром от внешнего мира. Касперский вполне вменяемый продукт, с хорошей документацией.

Вверх