none
Защита RDP RRS feed

  • Вопрос

  • Коллеги!

    Имеется сервер БЕЗ Active Directory, RDP смотрит в интернет, порт НЕстандартный, но регулярно пытаются подобрать пароль, судя по логам, вопрос:

    Как лучше защитить подобное соединение? Можно ли где-нибудь в политиках или настройках ограничение работы RDP по времени, и что больше интересует чтобы после неправильной попытки ввода пароля соединение блокировалось или отключалось на пару часов или больше? Или только внешней железкой можно сделать такое?

    27 сентября 2017 г. 6:37

Ответы

  • Не путайте теплое с мягким, RDP - сервис предоставляющий доступ и функции IDS ей не присущи.

    нестандартный порт и то что вы мониторите логи попыток подключений это отлично, политиками можно ограничить время между попытками подбора пароля среди пользователей, однако, емнип, это не распространяется на билтин админа. выставлять винду и в частности RDP голой жопой некошерно, вы это и сами понимаете.

    варианты:

    1) железка или подобное IDS решение

    2) впн

    3) дополнительная система верификации(например по смс)

    единственное что могу отметить, внедряя защиту главное не сделать хуже чем было :-) пытаясь найти баланс между удобством пользователя и защитой подключения можно накидать кучу допуязвимостей.

    ======

    это мое личное и никого не интересущее мнение, надеюсь если что не так коллеги поправят дополнят и тп..

    • Предложено в качестве ответа Alexander RusinovModerator 27 сентября 2017 г. 8:41
    • Помечено в качестве ответа Аero 27 сентября 2017 г. 8:51
    27 сентября 2017 г. 8:22
  • Привет. Такая тема всплывает постоянно, вот из недавнего обсуждения, ТС для ознакомления.

    Дополню только что самый "на коленке" вариант- это (внезапно, да) поднять RDS Gateway и прикрутить сертификаты к этому счастью. Все остальное (двухфакторная аутентификация и прочие пироги с котятами) будут не из коробки- за денюшки.


    Ах, прошу пардону, без домена у вас счастье, тогда это не про Вас, увы. Плюсую вверх.
    • Изменено Dima RazbornovMVP 27 сентября 2017 г. 8:50
    • Помечено в качестве ответа Аero 27 сентября 2017 г. 8:53
    27 сентября 2017 г. 8:49
  • Добрый День.

    Полностью солидарен с Коллегой.

    Как вариант:

    IPS как вариант Cisco ASA + доп. модули и подписки \ Лицензии - но дорого, не рентабельно для сети до 500 + ПК.

    Самый оптимальный вариант для одно ранговой сети это VPN SSTP Можно приобрести Микротик, по сравнению с Cisco стоит сущие копейки


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter.

    • Предложено в качестве ответа Alexander RusinovModerator 27 сентября 2017 г. 8:41
    • Помечено в качестве ответа Аero 27 сентября 2017 г. 8:51
    27 сентября 2017 г. 8:40
    Модератор
  • https://technet.microsoft.com/ru-ru/library/dn135243%28v=ws.10%29.aspx

    уточните где конкретней вам чтото непонятно.

    • Помечено в качестве ответа Аero 27 сентября 2017 г. 12:37
    27 сентября 2017 г. 10:28

Все ответы

  • Не путайте теплое с мягким, RDP - сервис предоставляющий доступ и функции IDS ей не присущи.

    нестандартный порт и то что вы мониторите логи попыток подключений это отлично, политиками можно ограничить время между попытками подбора пароля среди пользователей, однако, емнип, это не распространяется на билтин админа. выставлять винду и в частности RDP голой жопой некошерно, вы это и сами понимаете.

    варианты:

    1) железка или подобное IDS решение

    2) впн

    3) дополнительная система верификации(например по смс)

    единственное что могу отметить, внедряя защиту главное не сделать хуже чем было :-) пытаясь найти баланс между удобством пользователя и защитой подключения можно накидать кучу допуязвимостей.

    ======

    это мое личное и никого не интересущее мнение, надеюсь если что не так коллеги поправят дополнят и тп..

    • Предложено в качестве ответа Alexander RusinovModerator 27 сентября 2017 г. 8:41
    • Помечено в качестве ответа Аero 27 сентября 2017 г. 8:51
    27 сентября 2017 г. 8:22
  • Добрый День.

    Полностью солидарен с Коллегой.

    Как вариант:

    IPS как вариант Cisco ASA + доп. модули и подписки \ Лицензии - но дорого, не рентабельно для сети до 500 + ПК.

    Самый оптимальный вариант для одно ранговой сети это VPN SSTP Можно приобрести Микротик, по сравнению с Cisco стоит сущие копейки


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter.

    • Предложено в качестве ответа Alexander RusinovModerator 27 сентября 2017 г. 8:41
    • Помечено в качестве ответа Аero 27 сентября 2017 г. 8:51
    27 сентября 2017 г. 8:40
    Модератор
  • Привет. Такая тема всплывает постоянно, вот из недавнего обсуждения, ТС для ознакомления.

    Дополню только что самый "на коленке" вариант- это (внезапно, да) поднять RDS Gateway и прикрутить сертификаты к этому счастью. Все остальное (двухфакторная аутентификация и прочие пироги с котятами) будут не из коробки- за денюшки.


    Ах, прошу пардону, без домена у вас счастье, тогда это не про Вас, увы. Плюсую вверх.
    • Изменено Dima RazbornovMVP 27 сентября 2017 г. 8:50
    • Помечено в качестве ответа Аero 27 сентября 2017 г. 8:53
    27 сентября 2017 г. 8:49
  • Да, все понятно, IPS стоит, но частота подбора минимальна (1 раз в 10 минут) видимо с пониманием дела, можете напомнить как ограничить время между попытками? Думаю, на текущем этапе этого будет достаточно.
    27 сентября 2017 г. 8:53
  • https://technet.microsoft.com/ru-ru/library/dn135243%28v=ws.10%29.aspx

    уточните где конкретней вам чтото непонятно.

    • Помечено в качестве ответа Аero 27 сентября 2017 г. 12:37
    27 сентября 2017 г. 10:28
  • Да, есть определенная уверенность, количество попыток меняется, днем ощутимо меньше, сразу после окончания рабочего дня подбор происходит раз в 10 секунд, днем видимо ниже чтобы не светиться в логах IPS, подбор аккаунтов и паролей. Я понимаю, но по большому счету буду применять комбинированный метод защиты IPS + локальная политика.
    27 сентября 2017 г. 12:31