Saepe legi sententiam quam observatio RDP (Remote Desktop Protocol) portum apertum interreti valde tutum esse non debet. Sed necesse est ut RDP aditum dare vel per VPN, vel solum ex quibusdam inscriptionibus "albis" IP.
Plures Fenestra Servers pro parvis firmis administramus ubi gessisti cum remoto accessu ad Fenestra Servo pro tabulariis praebendo. Haec est tenoris hodierni - operandi ab domo. Cito intellexi quod VPN tabularii cruciatus munus ingratum est, et omnia IPs colligens propter album album non laborabit, quia homines IP inscriptiones dynamicae sunt.
Itaque simplicissimam viam cepi - portum RDP ad extra transmisi. Ad accessum recipiendum, tabularii nunc opus est RDP currere et hostname (portum including), username et tesseram sunt.
In hoc articulo experientiam meam (positivam et non ita positivam) communicabo et commendationes.
metus
Quid tu periclitaris aperiendo RDP portum?
I) alienum accessum ad notitia sensitivo
Si quis tesseram RDP coniectat, notitias obtinere poterint quas privatas servare velis: status rationis, staterae, notitia emptoris, ...
2) Data damnum
Exempli gratia, effectus pretium virus.
Vel ab impugnante deliberata actio.
III) amissio workstation
Laboratoribus opus est ad operandum, sed ratio decipitur et indiget restitui / restitui / configurari.
IV) Compromissum loci network
Si oppugnator accessum ad computatorium Windows accesserit, ex hoc computatorio systemata inaccessa extrinsecus ab Interrete accedere poterit. Exempli gratia, ad lima uncias, ad impressores retis, etc.
Causam habui ubi Fenestra Servo redemptionem cepit
et hoc redemptionis primum maximas tabularum in C: incoeptum encryptas ac deinde tabellas in NAS super reticulum incepit. Cum NAS Synologia esset, cum snapshots configuratus, NAS in 5 minuta restitui, et Fenestra Servo de integro reinstalled.
Observationes et Commendationes
Ego monitor Fenestra Server usura qui ligna ad ElasticSearch mittunt. Kibana plures visualizationes habet, et etiam consuetudinem ashboardday constituo.
Cras non ipsum protegit, sed mensuras necessarias adiuvat statuere.
Hic sunt observationes quaedam;
a) RDP brutum cogetur.
In uno ex servulis, RDP non in portu vexillum 3389 constitui, sed in 443 - bene, ego me dissimulabo sicut HTTPS. Probabile est mutare portum a signo, sed non multum bonum. Hic sunt mutant ex hoc servo:
Perspici potest in hebdomada prope 400 conatum fuisse frustrarum in via RDP aperiendi.
Perspici potest tentamina inire ab 55 IP inscriptionibus (quaedam IP inscriptiones a me iam obsessae).
Hoc protinus conclusionem suggerit necesse esse ut fail2ban, sed
Nulla tanta est utilitas in Fenestra.
Duo sunt consilia perditorum in Github quae hoc facere videntur, sed ego eas instituere non conatus sum:
Sunt etiam utilitates persolutae, sed eas non duxi.
Si utilitatem huius rei apertam scias, eam commentaria communica.
Update: Commentaria suggesserunt illum portum 443 malam esse electionem, et melius est portus altos eligere (32000+), quia 443 saepius lustratur, et in hoc portu agnoscens RDP non est quaestio.
Update: Commentaria suggesserunt talem utilitatem esse:
b) Sunt quidam usores qui oppugnatores praeferunt
Perspici potest investigationem variis nominibus peragi in glossario.
Sed hic illud animadverti: notabilis conatus numero usus est nomine servo ut login. Commendatio: Noli eodem nomine uti pro computatorio et utentis. Aliquando autem spectat sicut nomen servo quodam modo conantur dividere: exempli gratia, pro systemate nomine DESKTOP-DFTHD7C, plerique conatum aperiunt nomine DFTHD7C;
Proinde, si computatorium DESKTOP-MARIA habes, verisimiliter coneris ut MARIA usorem aperi.
Aliud animadverti ex lignis: in plerisque systematibus, maxime conatus ad aperiendum sunt nomine "administratoris". Idque non sine causa est, quia in multis versionibus Fenestra hic usor existit. Porro deleri non potest. Hoc munus oppugnantium simplicificat: pro coniectura nomen et tesseram, tantum opus est tesseram coniecturare.
Obiter ratio redemptionis capientis habuit Administratorem usoris et tesseram Murmansk#9. Ista ratio detruncatus non adhuc certus sum, quia vigilantia mox postea incepit, sed overkill verisimile puto.
Si Administrator usor deleri non potest, quid facies? Potes illud secunda nomine!
Commendationes ex hoc paragrapho:
- non uti nomen usoris in computatrum
- fac ut Administrator user non est in ratio
- utor fortis passwords
Ita aliquot Windows Servers in potestate mea observavi iam duos circiter annos bruta coactos, et sine fructu.
Unde scio parum?
Quia in eenshotsscray supra videre potes esse omnia felicitatis RDP vocat, quae indicium continent:
- unde IP
- unde computatrum (hostname)
- Username
- GeoIP informationes
Et ibi regulariter inspicio - nulla anomalia inventa sunt.
Obiter, si particularis IP est maxime dura coacta, tunc singula IPS (vel subnets) impedire potes in PowerShell sicut hoc:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockViam elasticam, praeter Winlogbeatum, etiam has , quod lima et processus in systematis monitoriis esse potest. Est etiam application SIEM (Security Information & Event Management) in Kibana. Utrumque probavi, sed multum utilitatis non vidi - similis Auditbeat utilior erit in systematibus Linux, et SIEM nihil tamen intelligibile mihi ostendit.
Bene, finalis commendationes;
- Fac ordinarius automatic tergum.
- install Securitatis Updates in opportune modo
Bonus: index 50 users qui frequentissime usus est pro RDP login conatusque prohibebit
"user.name: Descending"
numerare
dfthd7c (hostname)
842941
winsrv1 (hostname)
266525
ADMINISTRATOR
180678
Administrator
163842
Administrator
53541
michael
23101
Server
21983
Steve
21936
John
21927
Paulo
21913
receptio
21909
Mike
21899
officium
21888
scanner
21887
scan
21867
David,
21865
Chris
21860
dominus
21855
Manager
21852
Administrator
21841
Brian
21839
administrator
21837
Marcus
21824
Staff
21806
Admin
12748
RADIX
7772
ADMINISTRATOR
7325
SUSCIPIO
5577
SUSCIPIO
5418
USUFRUCTUARIUS
4558
admin
2832
PROBATIO
1928
MySql
1664
Maecenas et ipsum
1652
HOSPES
1322
user1
1179
Scanner
1121
LEGO
1032
ADMINISTRATOR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
HOSPITIUM
490
user2
466
TEMP
452
SQLADMIN
450
user3
441
1
422
COERATOR
418
DOMINUS
410
Source: www.habr.com