Remove From My Forums

blocco accesso administrator

Domanda
0

Registrati per votare

salve ho un quesito.

ho molti pc di dominio e sono tutti domain users.

è possibile far si che gli utenti quando si disconnettono non possono far accesso al dominio\administrator ?

cosi da prevenire accessi non desiderati.anche perchè alcune macchine hanno accesso dall'esterno con rdp.

praticamente gli utenti quando accendono il pc possono far accesso volendo anche ad atri utenti ma non all'administrator di dominio.

quale policy devo vedere?

grazie

Alessandro Ricca Tech

venerdì 21 dicembre 2018 22:24

Risposta

|

Citazione

Risposte

0

Registrati per votare
Premetto che esporre un Desktop Remoto su internet è da veri kamikaze, un harakiri informatico aziendale, le password complesse non ti salvano, oltre i banali brute force attack, ci sono altre tecniche per sfondare un desktop remoto... Segui il consiglio di Fabrizio: VPN!

Una buona norma da applicare anche se non hai remote desktop esposti è quella del blocco temporaneo dell'acount quando si verificano casi di brute force https://www.it-support.com.au/how-to-configure-account-lockout-policy-on-windows-server/2013/07/

consigliabile da avere con il blocco di 10 minuti dopo il 10 tentativo fallito di acesso.

Se po vuoi insistere con RDP esposto qualcosa puoi trovare:

wail + ts_block.vbs - Blocks brute force Terminal Services login attempts

https://blog.watchpointdata.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

http://psscripts.blogspot.com/2012/12/automatically-block-rdp-attacks-on-your.html

https://rdpguard.com e c'è chi vi ha fatto un prodotto commerciale!

Ciao Gastone

ps: mi viene voglia di fare qualcosa di vendibile vista la diffusa pratica...

Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere
- Proposto come risposta Fabrizio GiammariniMVP, Moderator mercoledì 26 dicembre 2018 10:51
- Modificato GastoneCanaliModerator giovedì 27 dicembre 2018 23:34
- Contrassegnato come risposta GastoneCanaliModerator sabato 30 marzo 2019 18:54
sabato 22 dicembre 2018 14:34

Risposta

|

Citazione

Moderatore

Tutte le risposte

0

Registrati per votare

Mi vorresti dire che tutti gli utenti conoscono la password dell'administrator di dominio?

Se si, stai cercando di risolvere il problema nel modo sbagliato. Nessun utente deve conoscere la password amministrativa di dominio, questo in ogni caso (indipendentemente dalle esigenze aziendali).
Se è necessario che gli utenti possano fare installazioni in autonomia sui propri computer (cosa comunque assolutamente non consigliata per la sicurezza) puoi fargli utilizzare al limite un account amministrativo locale oppure aggiungere l'utenza di dominio al gruppo amministrativo locale al computer.

venerdì 21 dicembre 2018 23:09

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Ciao,grazie innanzitutto per la risposta. Forse mi sono espresso io male.nessuno la sa ovviamente, ma siccome molti pc sono esposti su internet con rdp non vorrei che qualche hacker se trova la porta aperta dell'rdp arriva al pc e inizia a provare password random su administrator fino a bucarla anche se complessa.perciò vorrei che se anche malauguratamente un hacker riesce ad arrivare al pc non possa accedere o fare tentativi di accesso all'administrator.l'utente è già limitato di suo e anche loro con password complessa, quindi non può fare nulla.i server già sono filtrati per ip, ma i pc non posso essendo che si devono collegare da varie parti del mondo. spero di essere stato chiaro XD
Alessandro Ricca Tech

sabato 22 dicembre 2018 12:04

Risposta

|

Citazione
0

Registrati per votare
Ovviamente l'RDP non deve essere mai esposto direttamente in internet perché in tal caso nessuna misura sarà mai sufficiente per evitare il peggio. Acquista un apparato (o utilizza un server) per configurare una VPN sicura, quindi fai instaurare agli utenti esterni la connessione VPN prima di collegarsi in RDP.

Poi, eventualmente, puoi pensare anche di aggiungere delle impostazioni di sicurezza sull'accesso ai client:

https://docs.microsoft.com/it-it/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services
ma ripeto, senza una VPN è poco inutile.

Se non lo hai già fatto ti consiglio anche di rinominare l'account predefinito Administrator di dominio.
- Modificato Fabrizio GiammariniMVP, Moderator sabato 22 dicembre 2018 14:00
- Proposto come risposta Fabrizio GiammariniMVP, Moderator mercoledì 26 dicembre 2018 10:51
sabato 22 dicembre 2018 13:50

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Premetto che esporre un Desktop Remoto su internet è da veri kamikaze, un harakiri informatico aziendale, le password complesse non ti salvano, oltre i banali brute force attack, ci sono altre tecniche per sfondare un desktop remoto... Segui il consiglio di Fabrizio: VPN!

Una buona norma da applicare anche se non hai remote desktop esposti è quella del blocco temporaneo dell'acount quando si verificano casi di brute force https://www.it-support.com.au/how-to-configure-account-lockout-policy-on-windows-server/2013/07/

consigliabile da avere con il blocco di 10 minuti dopo il 10 tentativo fallito di acesso.

Se po vuoi insistere con RDP esposto qualcosa puoi trovare:

wail + ts_block.vbs - Blocks brute force Terminal Services login attempts

https://blog.watchpointdata.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

http://psscripts.blogspot.com/2012/12/automatically-block-rdp-attacks-on-your.html

https://rdpguard.com e c'è chi vi ha fatto un prodotto commerciale!

Ciao Gastone

ps: mi viene voglia di fare qualcosa di vendibile vista la diffusa pratica...

Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere
- Proposto come risposta Fabrizio GiammariniMVP, Moderator mercoledì 26 dicembre 2018 10:51
- Modificato GastoneCanaliModerator giovedì 27 dicembre 2018 23:34
- Contrassegnato come risposta GastoneCanaliModerator sabato 30 marzo 2019 18:54
sabato 22 dicembre 2018 14:34

Risposta

|

Citazione

Moderatore

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

blocco accesso administrator

Domanda

Risposte

Tutte le risposte