Важно понимать, имеет ли уязвимость внешнее направление?
Если вас ломают через внутреннюю учетку — это одно. Если враг может завладеть внутренней учеткой извне — это совсем другое!
Вы уж меня извините за критику, но объективно:
1.там особых настроек нет – минус безопасности
2.отключал галочку «Разрешить… проверкой подлинности на уровне сети» – огромный минус безопасности
3.Политика паролей — обыкновенная для доменов верхний, нижний регистр и цифры – тут я не знаю длину, но нет спец символов и поэтому ±
4.сервер 2016 или 2019 с последними обновлениями и т.д. – нивелируется первыми тремя пунктами
5.Лучше, чтобы версия протокола RDP была 10 – упор должен быть не в плюшки, а в безопасность. (в контексте текущей беседы)
Цитаты не ставил, вроде и так понятно. У меня только один вопрос – ну как так? Проигнорированы все принципы безопасности!
— нужно и рассказывать, что будет если сделать как он говорит. — «мне нужно доступ ко всему» – пожалуйста! Придумайте себе пароль согласно принятой практике, а лучше заведите токен для авторизации! И пользуйтесь на здоровье всем, чем нужно!
— случайно мышкой не туда клацнет или удалит случайно папку – это к безопасности РДП не относится
— Лицензии нужно покупать (хотя бы на ebay :) ) – это не избавит Вас от контролирующих органов. Органам нужна бумажка/наклейка;) Это к вопросу о принятости этой практики у нас.
Это все понятно, но я не про это!
Мой изначальный вопрос — может мне кто-нибудь объяснить почему держать отрытым для интернета порт RDP очень небезопасно?
Вот о чем я! Я надеялся понять — Есть ли реальные дыры в сервисе? Или надёжность зависит только от админа и пользователей?
я думаю, что mp~tTq?~$1~rqm~4sh%E|}|fgh{f?fDPN2B.rgneJVL71saQCv{~?VWfFZi0@asz6u*f@5%3.local — это перебор… contoso.com тоже не использую, фантазия имеется.
Вы видимо неправильно меня поняли, я имел в виду настройку безопасности которая требует ввода имени домена вместе с логином пользователя.
Давайте делить мух от котлет. Если вас заказали, то найдут дырку в софте или в человеке. Человеческий фактор, как показывает история, гораздо слабее софта.
Если вы защищаете сеть от армии ботов, то тут нет необходимости возводить 100500 слоев защиты. Боты вас не сломают ели вы будите придерживаться определенных правил, а все эти 100500 слоев только затруднит работу пользователей. И чем больше этих слоев будет, тем больше сами пользователи будут им сопротивляться. Не мне вам объяснять эту простую истину) Все мы действуем только из лучших побуждений, но зачастую страдает качество сервиса из-за того, что админ покрыл всю систему тремя слоями фаерволов + токен + смс и регистрация.
Надеюсь вы понимаете о чём я.
1. Но если у вас только ухо RDP торчит наружу? Причем тут win? Хорошо настроенный win очень неплох в безопасности.
2. Тренируйте пользователей, мои сами себе придумали по 20 символов… Сами запомнили и не ставят птицу. Все это за 1 день. И без звонков тыжпрограммисту на следующий день.
Если не секрет, можете дать настройки РДП сервера и политику паролей? Версия системы? Список патчей?
Многие пренебрегают обновлениями в угоду спокойствия пользователей — это когда стоит ломаный сервер и ему отключают обновления, чтоб активация не слетала и не появлялась надпись неактивированной системы. 100500 раз такое видел. И на вопрос — Почему? Стабильно отвечают — Чтоб пользователей не бесило…
Тут еще конечно важный момент, что клиент решил сам… Таких тоже много повидал!
Всем известно, что через X неудачных попыток входа винда блокирует учетку на Y минут. Переменные можно настроить в политике. Но ведь и имя пользователя еще подобрать надо… А если учетка доменная, то и имя домена…
По этому я и поднял вопрос безопасности самого РДП. Возможно уже можно приучить пользователей к сложным паролям и оставить пользователям их любимый зухель. И да, я понимаю, что сам зухель может быть еще той дырой, но и микротики не без греха.
Как сисадмин, объясню свою логику — а если Вам выдали ОДИН порт под сервис? А если сделать надо, а железа подходящего нет (стоит роутер бытового уровня на офис из 3-х человек)?
Я разделяю Ваши чувства. Из практики могу сказать, что боты ловят нестандартный порт от пары часов, до пары дней — это совершенно не повышает уровень безопасности. Вопрос больше из интереса, а правда ли РДП реально небезопасный? С учетом грамотной настройки + правильной политике паролей. Может быть небезопасный РДП — это в протоколы прошлых версий?
Если вас ломают через внутреннюю учетку — это одно. Если враг может завладеть внутренней учеткой извне — это совсем другое!
— (с) любого издателя. под *никс тоже.
Заметьте, не я это предложил!)
1.там особых настроек нет – минус безопасности
2.отключал галочку «Разрешить… проверкой подлинности на уровне сети» – огромный минус безопасности
3.Политика паролей — обыкновенная для доменов верхний, нижний регистр и цифры – тут я не знаю длину, но нет спец символов и поэтому ±
4.сервер 2016 или 2019 с последними обновлениями и т.д. – нивелируется первыми тремя пунктами
5.Лучше, чтобы версия протокола RDP была 10 – упор должен быть не в плюшки, а в безопасность. (в контексте текущей беседы)
Цитаты не ставил, вроде и так понятно. У меня только один вопрос – ну как так? Проигнорированы все принципы безопасности!
— нужно и рассказывать, что будет если сделать как он говорит. — «мне нужно доступ ко всему» – пожалуйста! Придумайте себе пароль согласно принятой практике, а лучше заведите токен для авторизации! И пользуйтесь на здоровье всем, чем нужно!
— случайно мышкой не туда клацнет или удалит случайно папку – это к безопасности РДП не относится
— Лицензии нужно покупать (хотя бы на ebay :) ) – это не избавит Вас от контролирующих органов. Органам нужна бумажка/наклейка;) Это к вопросу о принятости этой практики у нас.
Мой изначальный вопрос — может мне кто-нибудь объяснить почему держать отрытым для интернета порт RDP очень небезопасно?
Вот о чем я! Я надеялся понять — Есть ли реальные дыры в сервисе? Или надёжность зависит только от админа и пользователей?
Вы видимо неправильно меня поняли, я имел в виду настройку безопасности которая требует ввода имени домена вместе с логином пользователя.
Простите, что?)))
Если вы защищаете сеть от армии ботов, то тут нет необходимости возводить 100500 слоев защиты. Боты вас не сломают ели вы будите придерживаться определенных правил, а все эти 100500 слоев только затруднит работу пользователей. И чем больше этих слоев будет, тем больше сами пользователи будут им сопротивляться. Не мне вам объяснять эту простую истину) Все мы действуем только из лучших побуждений, но зачастую страдает качество сервиса из-за того, что админ покрыл всю систему тремя слоями фаерволов + токен + смс и регистрация.
Надеюсь вы понимаете о чём я.
Но мы сейчас все же про безопасность РДП.
з.ы.
Уж извините, завел обсуждение статьи в другое русло…
2. Тренируйте пользователей, мои сами себе придумали по 20 символов… Сами запомнили и не ставят птицу. Все это за 1 день. И без звонков тыжпрограммисту на следующий день.
Многие пренебрегают обновлениями в угоду спокойствия пользователей — это когда стоит ломаный сервер и ему отключают обновления, чтоб активация не слетала и не появлялась надпись неактивированной системы. 100500 раз такое видел. И на вопрос — Почему? Стабильно отвечают — Чтоб пользователей не бесило…
Тут еще конечно важный момент, что клиент решил сам… Таких тоже много повидал!