Атаки на RDP и способы защиты от них

[BigDflz]

• Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
  самое действенное решение. а ещё лучше не просто отключать, а фильтровать, точнее открывать порт RDP только для данного клиента прописывая адрес в роутере или каком другом входном устройстве. организовывается просто с помощью небольшого сайтика и телеграмбота. это не совсем двухфакторная авторизация. но работает стабильно.

[Lazhu]

sudo nmap –p 3389 -sU -sS –open 192.168.0.0/24

Если у вас локалка открыта наружу, вы сами себе злобный и заслуживаете быть взломанным

[savostin]

Можно ломать из локалки. Например какой-то хост в локалке открыт наружу, например вебсервер. Злобный хакер на этот хост положил исполняемый файл и уже с этого хоста nmap в локалку.

[Lazhu]

А это уже мисконфиг. Права либо на запись, либо на выполнение. Открывать на запись каталог со скриптами - такое себе. Опять же ССЗБ

[savostin]

Я имею в виду, что даже если у Вас RDP файерволом закрыт наружу, есть вероятность пропустить атаку с другого, менее защищенного хоста в локалке.

[SignFinder]

" Настроить политику блокировки при неудачных попытках ввода пароля. Рекомендуется установить значение блокировки равное 3. " - прикольно будет сотрудникам, которые будут получать заблокированные в AD УЗ, когда брутфорсеры будут их брутфорсить.

[savostin]

А насколько правильно лочить аккаунт после 3 попыток? В смысле, что делать, если кто-то подбирает пароль, а работать надо? Я заменил на fail2ban, т.е. лочится не аккаунт, а ip подбирающего пароль.

[sa1ntik]

Я заменил на fail2ban, т.е. лочится не аккаунт, а ip подбирающего пароль.

Но ведь угроза может быть не только внешняя, но и внутренняя. Поймала у вас тачка вирусню и заботилась/один из узлов оказался скомпроментирован/просто сотрудник решил внепланово "повысить свои привилегии". Банить свою внутреннюю сеть? Ну такое себе.

Так что, имхо, рекомендацию именно суспендить учётку поддерживаю, но с учётом того что RDP и прочие вещи наружу не торчат. Вообще снаружи можно оставить только необходимые для VPN подключения порты и всё.

[savostin]

Зачем сеть, конкретный ip, из какой сети он бы ни был...

[sa1ntik]

Зачем сеть, конкретный ip, из какой сети он бы ни был...

Недостаточно ясно выразился. Речь шла о конкретных девайсах во внутренней сети.

Так можно, условно, себе полсети перебанить при определённых обстоятельствах. Да и пароль могут начать перебирать и при физическом доступе к компьютеру.

Так что всё же блокировка УЗ при подозрении на перебор паролей от неё это меньшее из зол.

[savostin]

Ну, при физическом доступе долго перебирать, разве что каким-то эмулятором клавиатуры, вставленным в usb... Да и в Windows, если не ошибаюсь, при переборе пароля в окне логина лочится аккаунт и так. fail2ban блочит ip на какое-то время, так что забанить кого-то нехорошего, пусть даже всю сеть, если они подбирают пароль, на часик - самое то. Зато с правильным паролем с незабаненного ip или физически зайти можно всегда, в отличии от...

[imageman]

блокировка УЗ при подозрении на перебор паролей

так это прямой путь к массовой блокировке записей в компании при работе вражеских ботов, т.е. в любой момент.

[sa1ntik]

так это прямой путь к массовой блокировке записей в компании при работе вражеских ботов, т.е. в любой момент.

А названия учёток для того чтобы была именно "массовая блокировка УЗ" у ботов откуда?)