none
Kdy přiděluje RDS Server dočasnou licenci? RRS feed

  • Dotaz

  • Zdědil jsem Windows Server 2016 Standard, který funguje jako RDS server v licencování per-device s 5 licencemi (všechny jsou použité).

    Při procházení logů jsem si všiml, že v protokolu Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational se mnohokrát za minutu opakuje upozornění, že "Připojení z klientského počítače s IP adresou xxx.xxx.xxx.xxx se nezdařilo, protože uživatelské jméno nebo heslo není správné." Zcela jistě nejde o "rozumné adresy".

    Port RDP je bohužel přímo dostupný z internetu.

    Mezi dočasnými licencemi jsem objevil i počítače s podivnými názvy.

    V jakém okamžiku RDS server vystaví dočasnou licenci per-device? Je to v okamžiku, kdy se ze vzdálené plochy připojím k serveru, anebo až v okamžiku, kdy dojde k ověření jména a hesla? Pokud by to totiž bylo až v tom druhém případě, pak by záznamy neznámých PC mezi dočasnými licencemi znamenaly, že se do serveru někdo cizí připojuje.

    Zkoušel jsem si to nasimulovat z PC, který se k serveru nikdy nepřipojil: zadal jsem nesmyslné jméno a heslo, ale v Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational logu se to neobjevilo.

    Je to už druhý případ v celkem krátké době, kdy jsem u RDS serveru na něco takového narazil. U toho prvního případu bohužel nevím, jak se to řešilo, už se k tomu serveru nedostanu.

    Prvním krokem byly změny hesel, VPN bude následovat. Ale i tak mě to zajímá, co se děje...

    Děkuji za názory. Martd


    mart

    středa 6. února 2019 7:20

Odpovědi

  • Odpovím na něco úplně jiného, protože je třeba řešit příčinu, nikoliv následek.

    Bohužel se množí útoky na RDP, které je vystaveno přímo ven. Využívá se různých zranitelností, kdy je možné například převzít odpojenou session, aniž znám heslo. A kompletně záplatované systémy jsou bohužel ideální přestava, která se s praxí citelně nepotkává.

    RDP rozhodně ven nepublikovat přímo. Používejte RD Gateway. Z pohledu připojování uživatelů "z venku" je to rozhodně příjemnější, než připojování přes VPN.

    středa 6. února 2019 7:53

Všechny reakce

  • Odpovím na něco úplně jiného, protože je třeba řešit příčinu, nikoliv následek.

    Bohužel se množí útoky na RDP, které je vystaveno přímo ven. Využívá se různých zranitelností, kdy je možné například převzít odpojenou session, aniž znám heslo. A kompletně záplatované systémy jsou bohužel ideální přestava, která se s praxí citelně nepotkává.

    RDP rozhodně ven nepublikovat přímo. Používejte RD Gateway. Z pohledu připojování uživatelů "z venku" je to rozhodně příjemnější, než připojování přes VPN.

    středa 6. února 2019 7:53
  • V případě RD Gateway je potřeba publikovat ven port 443 (anebo jiný nastavený v konfiguraci RD GTW). Ověření pak proběhne na IIS. Není to ale z pohledu bezpečnosti/záplatování obdobná situace jako v případě RDP portu 3389 (anebo jiného)? Útoků na IIS je také plno.

    Připojování uživatelů je příjemnější než přes VPN, to je pravda.


    mart

    středa 6. února 2019 10:07
  • Ad RD GAteway to není pravda. Čistá RD GW ke své činnosti IISko nepoužívá. Používá httpd.sys = tj jen  stejný základ jako IIS, ale celé IIS nepotřebuje. Zkuste si RD GW nainstalovat samostatně, pokud nevěříte.

    Pokud se bavíme o RD WEBu, ano, tam je uživatel ověřen na IIS. klikem na ikonu dostane RDP soubor a vrací se do budu 1 = RD Gateway ověření.

    K tomu nějaké pak SSO mechanismy CredSSP, pokud jsou zapnuty a povoleny.

    ALe z jiného pohledu:

    Prostřelené IISko jsem neviděl leta. Prostřelené RDP bohužel poměrně často. Nebo další pohled - heslo přes standardní RDP kanál vs. heslo přes HTTPS s TLS u RD GW.

    Další pohled: RD GW povoluje provoz na základě členství v nějaké skupině = pokud to není pro obecnou domain users skupinu, opět se možnost lámání hesla oblíbeného administratora a následné nabourání do RDS zmenšuje

    Záver: RDP ven nepublikovat, je to víc problém, než výhoda.

    středa 6. února 2019 10:56
  • Díky za nasměrování. Zkusím se s RD Gateway poprat.

    mart

    středa 6. února 2019 11:14
  • Ještě jednou navazuji na tuto diskusi: Šel jsem tedy na doporučení cestou RD Gateway - funguje.

    Přesto mě znepokojuje, že v seznamu dočasně přidělených licencí jsou i licence, které měly už před několika týdny vypršet a přesto jsou stále označeny jako aktivní. Nové dočasné licence nepřibývají, všechna zařízení, která se aktivně připojují, mají pevnou licenci per device.

    Jak se neaktivních dočasných licencí zbavit?


    mart

    pondělí 18. února 2019 12:19
  • V licenim serveru je sloupec expires on. Pokud se licence nepouzije do tohoto data, je odstranena.
    pondělí 18. února 2019 15:02
  • Jenže já mám v tomto sloupci datumy, které už dávno prošly (např. 29.1.2019). A licence je stále vedena jako aktivní. A PC toho jména už neexistuje. To mě právě trápí...

    mart

    pondělí 18. února 2019 15:19