none
Неавторизированный вход на сервер (rdp). RRS feed

  • Общие обсуждения

  • Добрый день! Возникла проблема у клиента. Сервер 2008 std sp2 (32bit), используется в качестве сервера терминалов для 1С(7 терминальных пользователей), для организации удаленного доступа на роутере проброшен порт 3389, сам роутер в dyndns. Проблема в том, что недавно доступ был скомпрометирован(один из умельцев, не зная пароля к серверу зашел в базу, через интернет). В журнале "безопасность" фиксируется что-то вроде

    Вход с учетной записью выполнен успешно.

    Субъект:

    ИД безопасности: NULL SID

    Имя учетной записи: -

    Домен учетной записи: -

    Код входа: 0x0

    Тип входа: 3

    Новый вход:

    ИД безопасности: АНОНИМНЫЙ ВХОД

    Имя учетной записи: АНОНИМНЫЙ ВХОД

    Домен учетной записи: NT AUTHORITY

    Код входа: 0x1d664a1

    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:

    Идентификатор процесса: 0x0

    Имя процесса: -

    Сведения о сети:

    Имя рабочей станции: TERMINAL

    Сетевой адрес источника: 192.168.1.1

    Порт источника: 2759

    Сведения о проверке подлинности:

    Процесс входа: NtLmSsp

    Пакет проверки подлинности: NTLM

    Промежуточные службы: -

    Имя пакета (только NTLM): NTLM V1

    Длина ключа: 128

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    После этого в журнале система стали возникать события

    " Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен. "

    Вопрос,  если была использована какая-либо уязвимость, то как ее закрыть? Если руки кривые и безопасность надо настраивать, то в каком направлении копать, и как закрыть самые очевидные дыры? Заранее спасибо за ответ.

    • Изменен тип Rotar MaksimModerator 9 ноября 2012 г. 9:41 Тема переведена в разряд обсуждений по причине отсутствия активности
    28 октября 2012 г. 5:23

Все ответы

  • а есть увереннность что вход был успешным?

    28 октября 2012 г. 9:35
    Модератор
  • Да, продемонстрировали клиенту запуск 1С и вход в его базы.
    28 октября 2012 г. 9:41
  • прямо под анонимным пользователем или все таки под конкретным?
    28 октября 2012 г. 9:45
    Модератор
  • Такими деталями не владею. Передаю со слов руководителя "минут за 20 подключился, зашел в программу". В журнале"безопасность" никаких входов от зарегистрированных пользователей не было в этот период.

    Были поключения со старого сервера.

    Сведения о сети:

    Имя рабочей станции: TERMINAL

    Сетевой адрес источника: 192.168.1.1

    Порт источника: 2759

    Проверю его на наличие левого доступа из вне.

    Еще там же в безопасности, ошибки входа, похоже на перебор паролей (пользователи root, admin, administrator, test1 и т.п.), адрес подключения 213.37.155.80, глянул по рдп, там сервак какой-то 2003, не русский, и не английский.


    • Изменено DFLegat 28 октября 2012 г. 18:18
    28 октября 2012 г. 10:48
  • Несколько советов:

    1) Нельзя пробрасывать 3389 порт! Делайте подмену на шлюзе с какого-нибудь левого порта.

    2) Возможно была использована уязвимость RDP-сервера. Поставьте ВСЕ обновления. Вообще рекомендую отказаться от использования Server 2008. Перейдите на R2 или 2012 (понимаю, что только x64, но что поделать...)

    3) Убедитесь, что локальные учетные записи выключены

    4) Лучший вариант - защита на уровне сертификатов.

    29 октября 2012 г. 9:22
  • Проблема интересная. Посмотрите, какие ещё порты перенаправлены. Может, это было прямое соединение с SQL, а не RDP?

    Затем посмотрите текущие свойства безопасности RDP-соединения, что там настроено?


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    29 октября 2012 г. 12:09
    Отвечающий
  • Спасибо за советы, можно подробнее по первому пункту? Обновления все стоят, 2008 брали в оем, без СА, поэтому переход-только по покупке нового. Локальные учетки включены, по ним заходят на сервер(пароли удовлетворяют требованиям безопасности), под локальными учетками левых авторизаций не было.
    29 октября 2012 г. 17:56
  • Порт один открыт, SQL нету, база небольшая, хватает файлового режима. Что именно в RDP проверить?

    еще уточнение: сервер терминалов- единственный в организации(только для 1С), АД не разворачивалась (на рабочих станциях - хомяки), настройки безопасности- базовые, если есть толковые статьи на тему как правильно начинать строить информационную безопасность в организации- буду благодарен за направление.

    29 октября 2012 г. 18:03
  • Предположим, что доступ был получен именно через RDP. Откройте Administrative Tools -> Remote Desktop Services -> RD Session Host Configuration. Вызовите свойства RDP-Tcp соединения, параметры безопасности на первой же закладке. Что там?

    Закладка Security -> какие права каким группам предоставлены? Кто является членами этих групп?

    Заодно, сразу уточните, нет ли у вас универсальных учётных записей (т.е., пароль к которым знают более одного человека) и учётных записей с пустыми/простыми паролями.

    Вообще по безопасности существует целая куча многотомных учебников, даже затрудняюсь сказать сразу, с чего начать. Посмотрите учебный курс CompTIA Security+, он примитивен, но даёт основные понятия. Дальше по каждой его главе будет отдельный учебник.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    30 октября 2012 г. 7:09
    Отвечающий
  • Уровень безопасности- согласование, шифрование-совместимый с клиентским. На вкладке безопасность: system, local service, network service, Администратор, пользователи удаленного рабочего стола, интерактивные. У System и Администраторов полные права, у local, network, и Интерактивные - только особые разрешения, у ПУРС- доступ пользователя и доступ гостя. Администратор - один. пользователи удаленного стола - бухгалтера, универсальных учеток нет, с пустыми паролями тоже, гость- отключен.
    30 октября 2012 г. 12:13
  • "согласование" позволяет использовать устаревший протокол RDP Security Layer, который легко прослушивается. Если он используется, я могу достать пароли терминальных пользователей в течение 30 секунд.

    Во-вторых, проверьте (хотя бы с свойствах MyComputer -> Remote Settings), требуется ли обязательное применение Network Layer Authentication. дОлжно требовать.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    2 ноября 2012 г. 15:15
    Отвечающий
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    7 ноября 2012 г. 8:48
    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    9 ноября 2012 г. 9:41
    Модератор