none
Accesso RDP ai Server RRS feed

  • Domanda

  • Buongiorno,

    durante un analisi di sicurezza della mia infrastruttura, mi sono accorto che il precedente amministratore di sistemi non ha limitato l'accesso RDP ai soli Domain Admin. Ora vorrei capire a livello di best practice come gestire questa falla.

    Pensavo ad una GPO nell'OU dei server. 

    Vorrei però capire, nel caso fosse la strada giusta, se ce una guida per creare questa policy.

    Grazie


    Davide

    martedì 28 luglio 2020 06:29

Risposte

  • Grazie.

    facendo un analisi accurata, ho notato che una GPO abilita il gruppo RDU su tutte le macchine del domino.

    Mi sa che prima dovrò agire su questa benedetta GPO in modo da assegnarla solo alla OU dei client  e non dei server.

    Grazie ancora del supporto


    Davide

    venerdì 7 agosto 2020 09:12
  • Sospettavo, (vedi il 2do post marcato come possibile risposta), infatti, ti dicevo di cercare una GPO incriminata dedicata al gruppo RDU... Secedit di solito si usa per problemi particolari...


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    sabato 8 agosto 2020 19:51

Tutte le risposte

  • "Non ha limitato" vuol dire che ha attivamente abilitato altri utenti? Perché di base, quando attivi l'RDP, gli unici utenti abilitati di default sono gli amministratori (di dominio e locali)
    martedì 28 luglio 2020 09:46
  • digita il comando change logon al prompt dei comandi per configurare la modalità di accesso utente nel Terminal Server
    martedì 28 luglio 2020 10:22
  • Vorrei generalizzare la configurazione con una GPO in modo da non dover farlo a mano nei server.


    Davide

    martedì 28 luglio 2020 12:34
  • "non ha limitato l'accesso RDP ai soli Domain Admin" spiega meglio?

    Quanti servers hai?
    Non farei una policy per cambiare qualcosa sui servers, almeno che non siano un numero elevato.

    Fai chiarezza descrivendo il problema in modo più dettagliato al fine di permetterci di pensare una soluzione adatta.


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 5 agosto 2020 20:08
  • Buongiorno,

    praticamente tutti i Domain users possono collegarsi e autenticarsi in RDP ai Server di dominio.

    Vorrei negare l'accesso.

    Abbiamo una 30 di servers.

    Per ora l'unica strada che conosco e manualmente tramite secpol-> Criteri Locali -> Assegnazione diritti utente-> consenti accesso tramite servizi desktop remoto e lasciare solo Administrator o Domain Admin rimuovendo Domain users.

    Grazie


    Davide


    • Modificato Corda85 giovedì 6 agosto 2020 09:10 modifica
    giovedì 6 agosto 2020 09:08
  • Si potrebbe usare secedit o ntrights (se funziona ancora)

    con secedit si potrebbe esportare e  importare il file di configurazione modificato, e usare uno startup script per propagare la modifica

    Secedit /export /cfg poli.txt

    ma non lo farei assolutamente!

    SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555
    il primo well known sid sono gli administratos e il secondo gli utenti desktop remoto

    impedendonone il logon interattivo o mofidicando, ma prima cercherei di capire dove è stata concessa la possibilità di accedere via rdp.

    Partiamo con le cose semplici

    Nel gruppo Remote Desktop Users cosa trovi?


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    giovedì 6 agosto 2020 11:36
  • Trovo Domain User

    Davide

    giovedì 6 agosto 2020 12:03
  • Per 30 server farei l'operazione a mano, rimuovi i "Domain Users" dal gruppo o con pwsh

    qualcosa di simile, non ho testato la cosa è scritta di getto (controlla il nome del gruppo se ita o eng)

    "srv1","srv2","svr29" |%{Invoke-Command -ComputerName $_ -ScriptBlock { Remove-LocalGroupMember -Member "Domain Users" -Group "utenti desktop remoto" -Verbose}}

    via gpo, secondo me  è scomodo https://www.enterprisedaddy.com/2015/02/add-domain-users-local-remote-desktop-users-group-policy/

    piuttosto verifica che non ci sia una policy, (tipo wuella nel link indicato sopra), tu rimuovi con secesrit/ps/gruppi  e la gpo li rimette!

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    giovedì 6 agosto 2020 17:40
  • Grazie per la info.

    questo però non toglie che posso rimuovere il gruppo manualmente come avevo indicato nel post sopra vero?

    secpol-> Criteri Locali -> Assegnazione diritti utente-> consenti accesso tramite servizi desktop remoto e lasciare solo Administrator

    Grazie


    Davide

    venerdì 7 agosto 2020 07:09
  • Usare secpol o rimuovere i "domain users" dal gruppo dal gruppo "Remote Desktop Users", secondo me, si equivalgono. Fai la seguente prova, su di un server, rimuovi gli utenti di dominio dal gruppo RDU e poi con secpol guara cosa è cambiato 

    Lavorare sul gruppo è più comodo, usando "computer management" puoi connetteri ai server remoti e fare l'operazione, con secpol devi accedere localmente (via rdp o console) ad ognuno e fare la modifica.

    L'ideale sarebbe avere un un server "pulito" e controllare come è impostato il parametro e poi portare tutti i server all'impostazione standard


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    venerdì 7 agosto 2020 09:07
  • Grazie.

    facendo un analisi accurata, ho notato che una GPO abilita il gruppo RDU su tutte le macchine del domino.

    Mi sa che prima dovrò agire su questa benedetta GPO in modo da assegnarla solo alla OU dei client  e non dei server.

    Grazie ancora del supporto


    Davide

    venerdì 7 agosto 2020 09:12
  • Sospettavo, (vedi il 2do post marcato come possibile risposta), infatti, ti dicevo di cercare una GPO incriminata dedicata al gruppo RDU... Secedit di solito si usa per problemi particolari...


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    sabato 8 agosto 2020 19:51