none
Napadený terminal server?

    Dotaz

  • Dobrý den,

    potýkám se s problémem, kdy mi na terminálovém serveru W2012 ubývají Device CAL. Mám 5 Device CAL, 3 fyzická zařízení, která se připojují na server.

    Ve správci licencování vidím desítky cizích PC, které mi vyčerpávají dočásné licence, mezi nainstalovanými zařízeními vidím 3 stanice, ze kterých jsem se připojil jen jednou, další 2 stanice jsou ty, které se mají připojovat rutinně. Ale třetí už nedostane ani dočasnou licenci.

    V Event Logu vidím mnoho neúspěšných pokusů o připojení pod uživatelem "USER" - nezdařilo se kvůli špatnému heslu, ale co mě zaráží nejvíc je to, že je zde i mnoho případů, kdy došlo k úspěšnému přihlášení pod účtem TERMSRV01$ (TERMSRV01 je název mého serveru), ID zabezpečení je "SYSTEM". Poslední záznam se shoduje přesně s časem, kdy byla vystavena dočasná licence počítači s cizím jménem "UNIPA".

    Znamená to, že se někdo přihlašuje jako "TERMSRV01$"??? Jak tomu zabránit a jak odmazat dočasné licence ze serveru, aby se mé stanice mohly přihlašovat korektně?

    Děkuji za rady, docela tápu a nevím, kde začít hledat chybu.

    S pozdravem Martin


    mart

    úterý 18. října 2016 6:36

Odpovědi

Všechny reakce

  • 1. Co to jsou ty cizí počítače? Něco úplně mimo Tvoji síť?

    2. Ten RDP server je otevřený do internetu?


    BB

    úterý 18. října 2016 12:03
  • Jsou to cizí PC a RDP je otevřený do internetu.

    mart

    úterý 18. října 2016 12:04
  • To že máš v security logu záznamy o přihlášení stanice TERMSRV01$ není nic neobvyklého.

    Pokud Tě zajímá více, musíš přečíst celý záznam o události (Logon type, Process atd . . .).Pokud máš RDP otevřený do internetu, pak se není co divit, že se boti zkoušejí logovat.

    Buď omez přístup jen na určité IP adresy (lze-li to udělat) nebo publikuj RDP na nestandardním portu.


    BB

    středa 19. října 2016 6:55
  • Nebo pred RDP predrad VPN

    MP

    středa 19. října 2016 10:19
    Vlastník
  • Omezeni na urcite IP adresy a změna portu je ochrana v kategorii "security through obscurity". Budete muset na zabezpeceni trochu zainvestovat....

    M.

    středa 19. října 2016 11:33
    Vlastník
  • A proc se nepouzije standardni RDS reseni pro publikaci Remote services = RDGatewayi ?
    • Označen jako odpověď martd pátek 11. listopadu 2016 11:05
    pondělí 24. října 2016 12:11
  • Chápu-li to správně, je RD Gateway jakýmsi předřazeným členem před vlastním serverem s RDS a ověřování na ní probíhá na portu 443. Není to ale (v mém případě) totéž, jako když vystavím do internetu přímo server s RDS na portu 3389? V čem si pomůžu? Boti to budou zkoušet akorát na jiném portu, ne?


    mart

    pondělí 24. října 2016 13:13
  • Chápu-li to správně, je RD Gateway jakýmsi předřazeným členem před vlastním serverem s RDS a ověřování na ní probíhá na portu 443. Není to ale (v mém případě) totéž, jako když vystavím do internetu přímo server s RDS na portu 3389? V čem si pomůžu? Boti to budou zkoušet akorát na jiném portu, ne?


    mart

    Dobrý den,

    No není, protože většina útočníku na otevřeném portu 443 očekává web, ale v případě RD gateway tam je RDP provoz zakomponovaný do https tunelu.

    Rozhodně nevystavujte terminálový server jen tak na portu 3389 do internetu!

    Nenastavujte oprávnění vzdáleného přístupu na RDS server pro skupinu USERS.

    Kombinace VPN a RDS v DMZ je asi nejjednodušším způsobem, jak bezpečně RDS provozovat pro uživatelé v internetu.

    Chybně přiřazené device CALy by měly jít revokovat v licence managerovi. (User CALy revokovat nelze - je potřeba promazat databázi Licence managera)

    Radek

    úterý 25. října 2016 6:44
  • RDP jako takový je velmi známý protokol = jednoduchý BOT může zkoušet. Tj zkusím reakci na standardním portu, zjistím že tam RDP je a jedu- například útok na heslo, nebo ddos.

    RDGW = zabalený RDP do SSL. A dnes se do SSL balí kde co - např. SSL VPNky = BOT musí více přemýšlet, musí zkusit spoustu možností - je to řádově složitější. Navíc neúspěch přes GW neznamená připojení k RDS = nespotřebovávají se licence, což bylo to, co jste potřeboval řešit.

    RDGW lze nainstalovat přímo i na RD hosta = zevnitř používate RDP, zvenku SSL.

    pro použití RDGW v malé firmě stačí libovolný router s jednoduchým NATem, nemusím používat VPN = připojení pro venkovní uživatele znamená jen kliknout na RDP soubor, který dodal správce IT = je to i pro sekretářku.


    úterý 25. října 2016 7:29
  • "RDGW lze nainstalovat přímo i na RD hosta = zevnitř používate RDP, zvenku SSL."

    Takže to by asi bylo řešením pro mě: na stejný stroj, kde mám RDS, bych doinstaloval roli RDGW a na routeru místo nějakého nestandardního portu pro RDS bych otevřel port 443.

    Děkuji, pánové, za podnětné rady.


    mart

    úterý 25. října 2016 7:34
  • Přesně tak :) Jenom je nutné mít certifikát, který je důvěryhodný i pro externího klienta = placený, nebo musí naimportovat root cert od lokální CA.
    úterý 25. října 2016 9:01