Как стать автором
Обновить

Атаки на RDP и способы защиты от них

Уровень сложности Простой
Время на прочтение 15 мин
Количество просмотров 19K
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 11

Комментарии 11

  • Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
    самое действенное решение. а ещё лучше не просто отключать, а фильтровать, точнее открывать порт RDP только для данного клиента прописывая адрес в роутере или каком другом входном устройстве. организовывается просто с помощью небольшого сайтика и телеграмбота. это не совсем двухфакторная авторизация. но работает стабильно.

sudo nmap –p 3389 -sU -sS –open 192.168.0.0/24

Если у вас локалка открыта наружу, вы сами себе злобный и заслуживаете быть взломанным

Можно ломать из локалки. Например какой-то хост в локалке открыт наружу, например вебсервер. Злобный хакер на этот хост положил исполняемый файл и уже с этого хоста nmap в локалку.

А это уже мисконфиг. Права либо на запись, либо на выполнение. Открывать на запись каталог со скриптами - такое себе. Опять же ССЗБ

Я имею в виду, что даже если у Вас RDP файерволом закрыт наружу, есть вероятность пропустить атаку с другого, менее защищенного хоста в локалке.

" Настроить политику блокировки при неудачных попытках ввода пароля. Рекомендуется установить значение блокировки равное 3. " - прикольно будет сотрудникам, которые будут получать заблокированные в AD УЗ, когда брутфорсеры будут их брутфорсить.

А насколько правильно лочить аккаунт после 3 попыток? В смысле, что делать, если кто-то подбирает пароль, а работать надо? Я заменил на fail2ban, т.е. лочится не аккаунт, а ip подбирающего пароль.

Я заменил на fail2ban, т.е. лочится не аккаунт, а ip подбирающего пароль.

Но ведь угроза может быть не только внешняя, но и внутренняя. Поймала у вас тачка вирусню и заботилась/один из узлов оказался скомпроментирован/просто сотрудник решил внепланово "повысить свои привилегии". Банить свою внутреннюю сеть? Ну такое себе.

Так что, имхо, рекомендацию именно суспендить учётку поддерживаю, но с учётом того что RDP и прочие вещи наружу не торчат. Вообще снаружи можно оставить только необходимые для VPN подключения порты и всё.

Зачем сеть, конкретный ip, из какой сети он бы ни был...

Зачем сеть, конкретный ip, из какой сети он бы ни был...

Недостаточно ясно выразился. Речь шла о конкретных девайсах во внутренней сети.

Так можно, условно, себе полсети перебанить при определённых обстоятельствах. Да и пароль могут начать перебирать и при физическом доступе к компьютеру.

Так что всё же блокировка УЗ при подозрении на перебор паролей от неё это меньшее из зол.

Ну, при физическом доступе долго перебирать, разве что каким-то эмулятором клавиатуры, вставленным в usb... Да и в Windows, если не ошибаюсь, при переборе пароля в окне логина лочится аккаунт и так. fail2ban блочит ip на какое-то время, так что забанить кого-то нехорошего, пусть даже всю сеть, если они подбирают пароль, на часик - самое то. Зато с правильным паролем с незабаненного ip или физически зайти можно всегда, в отличии от...

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.