none
blocco accesso administrator RRS feed

  • Domanda

  • salve ho un quesito.

    ho molti pc di dominio e sono tutti domain users.

    è possibile far si che gli utenti quando si disconnettono non possono far accesso al dominio\administrator ?

    cosi da prevenire accessi non desiderati.anche perchè alcune macchine hanno accesso dall'esterno con rdp.

    praticamente gli utenti quando accendono il pc possono far accesso volendo anche ad atri utenti ma non all'administrator di dominio.

    quale policy devo vedere?

    grazie


    Alessandro Ricca Tech

    venerdì 21 dicembre 2018 22:24

Risposte

Tutte le risposte

  • Mi vorresti dire che tutti gli utenti conoscono la password dell'administrator di dominio? 

    Se si, stai cercando di risolvere il problema nel modo sbagliato. Nessun utente deve conoscere la password amministrativa di dominio, questo in ogni caso (indipendentemente dalle esigenze aziendali).
    Se è necessario che gli utenti possano fare installazioni in autonomia sui propri computer (cosa comunque assolutamente non consigliata per la sicurezza) puoi fargli utilizzare al limite un account amministrativo locale oppure aggiungere l'utenza di dominio al gruppo amministrativo locale al computer.

    venerdì 21 dicembre 2018 23:09
    Moderatore
  • Ciao,grazie innanzitutto per la risposta. Forse mi sono espresso io male.nessuno la sa ovviamente, ma siccome molti pc sono esposti su internet con rdp non vorrei che qualche hacker se trova la porta aperta dell'rdp arriva al pc e inizia a provare password random su administrator fino a bucarla anche se complessa.perciò vorrei che se anche malauguratamente un hacker riesce ad arrivare al pc non possa accedere o fare tentativi di accesso all'administrator.l'utente è già limitato di suo e anche loro con password complessa, quindi non può fare nulla.i server già sono filtrati per ip, ma i pc non posso essendo che si devono collegare da varie parti del mondo. spero di essere stato chiaro XD

    Alessandro Ricca Tech

    sabato 22 dicembre 2018 12:04
  • Ovviamente l'RDP non deve essere mai esposto direttamente in internet perché in tal caso nessuna misura sarà mai sufficiente per evitare il peggio. Acquista un apparato (o utilizza un server) per configurare una VPN sicura, quindi fai instaurare agli utenti esterni la connessione VPN prima di collegarsi in RDP.

    Poi, eventualmente, puoi pensare anche di aggiungere delle impostazioni di sicurezza sull'accesso ai client:

    https://docs.microsoft.com/it-it/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services

    ma ripeto, senza una VPN è poco inutile.

    Se non lo hai già fatto ti consiglio anche di rinominare l'account predefinito Administrator di dominio.



    sabato 22 dicembre 2018 13:50
    Moderatore
  • Premetto che esporre un Desktop Remoto su internet è da veri kamikaze, un harakiri informatico aziendale, le password complesse non ti salvano, oltre i banali brute force attack, ci sono altre tecniche per sfondare un desktop remoto... Segui il consiglio di Fabrizio: VPN!

    Una buona norma da applicare anche se non hai remote desktop esposti è quella del blocco temporaneo dell'acount quando si verificano casi di brute force  https://www.it-support.com.au/how-to-configure-account-lockout-policy-on-windows-server/2013/07/

    consigliabile da avere con il blocco di 10 minuti dopo il 10 tentativo fallito di acesso.

    Se po vuoi insistere con RDP esposto qualcosa puoi trovare:

    wail + ts_block.vbs - Blocks brute force Terminal Services login attempts

    https://blog.watchpointdata.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

    http://psscripts.blogspot.com/2012/12/automatically-block-rdp-attacks-on-your.html

    https://rdpguard.com e c'è chi vi ha fatto un prodotto commerciale!

    Ciao Gastone

    ps: mi viene voglia di fare qualcosa di vendibile vista la diffusa pratica...


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    sabato 22 dicembre 2018 14:34
    Moderatore