Matetika aho no namaky ny hevitra fa ny fitazonana seranan-tsambo RDP (Remote Desktop Protocol) misokatra amin'ny Internet dia tena tsy azo antoka ary tsy tokony hatao. Saingy mila manome fidirana amin'ny RDP ianao na amin'ny alàlan'ny VPN, na avy amin'ny adiresy IP "fotsy" sasany ihany.
Mitantana maromaro aho Windows Server ho an'ny orinasa madinika izay nasaina nanome ahy fidirana lavitra Windows Server Ho an'ny mpitan-kaonty. Izany no fironana maoderina—miasa any an-trano. Vetivety dia tsapako fa asa tsy misy fankasitrahana ny fanenjehana ny mpitan-kaonty amin'ny alàlan'ny VPN, ary tsy azo atao ny manangona ny adiresy IP rehetra ho an'ny lisitra fotsy satria ny besinimaro dia manana adiresy IP mavitrika.
Noho izany, naka ny lalana tsotra indrindra aho - nampita ny seranan-tsambo RDP ho any ivelany. Mba hahazoana fidirana dia mila mihazakazaka RDP izao ny kaonty ary ampidiro ny anaran'ny mpampiantrano (anisan'izany ny seranana), solon'anarana ary tenimiafina.
Amin'ity lahatsoratra ity dia hizara ny traikefako aho (tsara fa tsy dia tsara) sy ny soso-kevitra.
loza
Inona no atahoranao amin'ny fanokafana ny seranan-tsambo RDP?
1) Fidirana tsy nahazoana alalana amin'ny angona saro-pady
Raha misy maminavina ny tenimiafina RDP, dia ho afaka hahazo angon-drakitra tianao hotehirizina ho an'ny tena manokana izy ireo: sata kaonty, fifandanjana, angon-drakitra mpanjifa, ...
2) Data very
Ohatra, vokatry ny viriosy ransomware.
Na hetsika minia ataon'ny mpanafika.
3) Very ny toeram-piasana
Mila miasa ny mpiasa, saingy voahitsakitsaka ny rafitra ary mila averina / averina / amboarina.
4) Mandefitra ny tambajotra eo an-toerana
Raha toa ka nahazo fidirana amin'ny Windows-ordinatera, dia avy amin'ity solosaina ity dia ho afaka hiditra amin'ireo rafitra izay tsy azo idirana any ivelany izy ireo, amin'ny alàlan'ny Internet. Ohatra, fizarana rakitra, mpanonta tambajotra, sns.
Nanana tranga aho rehefa Windows Server tratra ilay mpanao kriptografia
Ity ransomware ity dia nanafina ny ankamaroan'ny rakitra tao amin'ny kapila C: aloha, ary avy eo dia nanomboka nanafina ireo rakitra tao amin'ny NAS tamin'ny alàlan'ny tambajotra. Koa satria Synology ny NAS, miaraka amin'ny snapshots voalamina, dia naveriko tao anatin'ny 5 minitra ny NAS, ary Windows Server naverina napetraka hatrany am-boalohany.
Fandinihana sy tolo-kevitra
Manara-maso aho Windows Servermiaraka amin'ny fanampian'ny , izay mandefa logs amin'ny ElasticSearch. Manana sary an-tsary maromaro i Kibana, ary nanangana dashboard manokana ihany koa aho.
Ny fanaraha-maso ny tenany dia tsy miaro, fa manampy amin'ny famaritana ny fepetra ilaina.
Ireto misy fanamarihana vitsivitsy:
a) RDP dia ho terena.
Ao amin'ny iray amin'ireo mpizara dia nametraka RDP tsy tao amin'ny seranan-tsambo mahazatra 3389 aho, fa tamin'ny 443 - tsara, hanafina ny tenako ho HTTPS aho. Mendrika ny hanova ny seranan-tsambo amin'ny mahazatra, saingy tsy dia mahomby loatra izany. Ireto ny antontan'isa avy amin'ity mpizara ity:
Hita fa tao anatin'ny herinandro dia efa ho 400 ny andrana tsy nahomby tamin'ny fidirana amin'ny alàlan'ny RDP.
Hita fa nisy andrana niditra avy amin'ny adiresy IP 55 (efa nosakanako ny adiresy IP sasany).
Izany dia manondro mivantana ny fehin-kevitra fa mila mametraka fail2ban ianao, fa
ho an'ny Windows Tsy misy izany fahafahana izany.
Misy tetikasa roa nilaozana ao amin'ny Github izay toa manao izany, saingy tsy nanandrana nametraka azy ireo akory aho:
Misy ihany koa ny kojakoja karama, saingy tsy nodinihiko.
Raha fantatrao ny loharano misokatra ho an'ity tanjona ity dia zarao amin'ny fanehoan-kevitra.
Update: Ny fanehoan-kevitra dia nanoro hevitra fa ny port 443 dia safidy ratsy, ary tsara kokoa ny misafidy seranana avo (32000+), satria 443 no scanned matetika kokoa, ary tsy olana ny fahafantarana ny RDP amin'ity seranana ity.
vaovao farany: Ny fanehoan-kevitra dia nanoro hevitra fa misy fitaovana toy izany:
b) Misy solonanarana tian'ny mpanafika
Hita fa ao anaty rakibolana misy anarana samy hafa no anaovana ny fikarohana.
Fa izao no tsikaritro: betsaka ny andrana mampiasa ny anaran'ny mpizara ho fidirana. Soso-kevitra: Aza mampiasa anarana mitovy amin'ny solosaina sy ny mpampiasa. Ankoatr'izay, indraindray dia toa manandrana manara-maso ny anaran'ny mpizara izy ireo: ohatra, ho an'ny rafitra misy ny anarana DESKTOP-DFTHD7C, ny ankamaroan'ny andrana hiditra dia amin'ny anarana DFTHD7C:
Araka izany, raha manana solosaina DESKTOP-MARIA ianao dia mety hiezaka hiditra ho mpampiasa MARIA ianao.
Zavatra iray hafa tsikaritro avy amin'ny logs: amin'ny ankamaroan'ny rafitra, ny ankamaroan'ny andrana fidirana dia atao amin'ny anarana mpampiasa "administrator". Ary tsy kisendrasendra izany, satria amin'ny dikan-teny maro Windows, misy ity mpampiasa ity. Ankoatra izany, tsy azo fafana izy io. Manamora ny asa ho an'ny mpanafika izany: tsy mila maminavina ny anarana mpampiasa sy ny tenimiafina intsony izy ireo fa maminavina ny tenimiafina fotsiny.
Raha ny marina, ny rafitra nahazo ny ransomware dia nanana ny mpampiasa Administrator sy ny tenimiafina Murmansk#9. Mbola tsy azoko antoka hoe ahoana no nisamborana an'io rafitra io, satria nanomboka nanara-maso aho taorian'io zava-nitranga io, saingy heveriko fa mety ho tafahoatra izany.
Ka raha tsy azo fafana ny mpampiasa Administrator dia inona no tokony hataonao? Azonao atao ny manova anarana!
Soso-kevitra avy amin'ity paragrafy ity:
- aza mampiasa ny solonanarana amin'ny anaran'ny solosaina
- Ataovy azo antoka fa tsy misy mpampiasa Administrator ao amin'ny rafitra
- mampiasa tenimiafina matanjaka
Toy izao no fomba ahitako ny fomba maro samihafa Windows Server Teo ambany fifehezako, dia efa nisy nandritra ny roa taona izao ny fanerena olona, ary tsy nahomby.
Ahoana no ahafantarako fa tsy nahomby izany?
Satria ao amin'ny pikantsary etsy ambony dia hitanao fa misy diarin'ny antso RDP mahomby, izay misy ny fampahalalana:
- avy amin'ny IP
- avy amin'ny solosaina (anarana mpampiantrano)
- Anaran'ny mpampiasa
- Fampahalalana GeoIP
Ary manara-maso tsy tapaka ao aho - tsy misy anomaliana hita.
Raha ny marina, raha terena mafy mafy ny IP iray manokana, dia azonao atao ny manakana ny IP tsirairay (na subnets) toy izao ao amin'ny PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockRaha ny marina, ny Elastic, ankoatry ny Winlogbeat, dia manana ihany koa , izay afaka manara-maso ireo rakitra sy dingana ao amin'ny rafitra. Misy ihany koa ny fampiharana SIEM (Security Information & Event Management) ao amin'ny Kibana. Nanandrana azy roa aho, saingy tsy nahita tombony firy—toa ho ilaina kokoa ny Auditbeat ho an'ny Linux rafitra, saingy mbola tsy nampiseho zavatra azo takarina tamiko ny SIEM.
Eny, soso-kevitra farany:
- Manaova backup automatique tsy tapaka.
- mametraka Security Updates ara-potoana
Bonus: lisitry ny mpampiasa 50 izay matetika ampiasaina amin'ny fanandramana fidirana RDP
"user.name: Midina"
Count
dfthd7c (anaran'ny mpampiantrano)
842941
winsrv1 (anaran'ny mpampiantrano)
266525
mpandrindra
180678
mpandrindra
163842
Administrator
53541
Michael
23101
mpizara
21983
Steve
21936
Jaona
21927
Paoly
21913
fandraisana
21909
Mike
21899
birao
21888
scanner
21887
Notarafina
21867
David
21865
Chris
21860
Owner
21855
mpitantana
21852
mpandrindra
21841
Brian
21839
mpandrindra
21837
Marka
21824
mpiasa
21806
ADMIN
12748
MAMAKA
7772
mpandrindra
7325
MANAMPY
5577
MANAMPY
5418
USER
4558
Admin
2832
TEST
1928
MySQL
1664
Admin
1652
HIVAHINY
1322
USER1
1179
MANDIKA
1121
Notarafina
1032
mpandrindra
842
ADMIN1
525
nomaniny ho solon'izay
518
MySqlAdmin
518
FANDRAISANA
490
USER2
466
Temp
452
SQLADMIN
450
USER3
441
1
422
Mpitantana
418
TOMPON'NY
410
Source: www.habr.com
