He maha nga wa ka panuihia e au te whakaaro ko te pupuri i te tauranga RDP (Remote Desktop Protocol) kia tuwhera ki te Ipurangi he tino kino, kaore e tika kia mahia. Engari me uru koe ki te RDP ma te VPN, mai i etahi waahi IP "ma" anake.
Ka whakahaerehia e au etahi Tūmau Windows mo nga umanga iti i whakawhiwhia ahau ki te tuku uru mamao ki te Windows Server mo nga kaikaute. Koinei te ahua hou - mahi mai i te kainga. I tere tonu, i mohio ahau ko te whakamamae i nga kaikaute VPN he mahi kore mihi, me te kohikohi i nga IP katoa mo te rarangi ma e kore e mahi, no te mea he hihiri nga wahitau IP o te tangata.
Na reira, i whai ahau i te huarahi ngawari - ka tukuna te tauranga RDP ki waho. Kia uru mai, me whakahaere nga kaikaute inaianei i te RDP me te whakauru i te ingoa kaihautu (tae atu ki te tauranga), te ingoa kaiwhakamahi me te kupuhipa.
I roto i tenei tuhinga ka tohatoha ahau i aku wheako (he pai, kaore i te pai) me nga taunakitanga.
Rino
He aha koe ka tupono ma te whakatuwhera i te tauranga RDP?
1) Te uru kore mana ki nga raraunga tairongo
Mena ka pohehe tetahi ki te kupuhipa RDP, ka taea e ratou te tiki raraunga e hiahia ana koe kia noho motuhake: te mana kaute, nga pauna, nga raraunga kaihoko, ...
2) Te ngaronga raraunga
Hei tauira, na te huaketo ransomware.
He mahi whakaaro ranei na te tangata whakaeke.
3) Te ngaronga o te teihana mahi
Me mahi nga kaimahi, engari kua taupatupatu te punaha, me whakauru ano/whakahokia/whirihora.
4) Whakararu i te whatunga rohe
Mena kua uru atu te kaitukino ki tetahi rorohiko Windows, na tenei rorohiko ka taea e ia te uru atu ki nga punaha kaore e taea te uru mai i waho, mai i te Ipurangi. Hei tauira, ki te konae hea, ki nga kaituhi whatunga, aha atu.
He take taku i mau ai te Windows Server i te ransomware
a na tenei ransomware i whakamunatia te nuinga o nga konae kei runga i te puku C: katahi ka tiimata te whakamuna i nga konae kei runga i te NAS i runga i te whatunga. I te mea ko te NAS te Synology, me nga whakaahua kua whirihorahia, ka whakahokia e ahau te NAS i roto i nga meneti 5, ka whakauru ano i te Windows Server mai i te wahanga.
Nga Matakitaki me nga Tohutohu
Aroturuki ahau Windows Servers whakamahi , e tuku ana i nga raarangi ki ElasticSearch. He maha nga tirohanga a Kibana, a kua whakaritea e ahau he papatohu ritenga.
Ko te aro turuki i a ia ano kaore e tiakina, engari ka awhina i te whakatau i nga tikanga e tika ana.
Anei etahi tirohanga:
a) Ko te RDP ka tino kaha.
I runga i tetahi o nga kaitoro, i whakauruhia e ahau te RDP kaore i runga i te tauranga paerewa 3389, engari i runga i te 443 - pai, ka huna ahau i ahau hei HTTPS. He pai pea te whakarereke i te tauranga mai i te paerewa, engari kaore e tino pai. Anei nga tatauranga mai i tenei tūmau:
Ka kitea i roto i te wiki tata ki te 400 nga nganatanga karekau i angitu ki te takiuru ma te RDP.
Ka kitea he ngana ki te takiuru mai i nga wahitau IP 55 (kua araia e au etahi wahitau IP).
Ko tenei e whakaatu tika ana i te whakatau ka hiahia koe ki te tautuhi fail2ban, engari
Kaore he taputapu pera mo Windows.
E rua nga kaupapa kua whakarerea i runga i a Github e penei ana te mahi, engari kaore au i ngana ki te whakauru:
He taputapu utu ano hoki, engari kaore au i whakaaro.
Mena kei te mohio koe ki tetahi taputapu puna tuwhera mo tenei kaupapa, tena koa tohaina ki nga korero.
Whakahōu: Ko nga korero i kii ko te tauranga 443 he whiringa kino, a he pai ake te whiriwhiri i nga tauranga teitei (32000+), no te mea he maha ake te tirotiro a 443, a, ko te mohio ki te RDP i runga i tenei tauranga kaore he raruraru.
b) He ingoa ingoa e pai ana ki nga kaiwhaiwhai
Ka kitea te mahi rapu i roto i te papakupu me nga ingoa rereke.
Engari koinei taku i kite ai: he maha nga nganatanga kei te whakamahi i te ingoa tūmau hei takiuru. Taunakitanga: Kaua e whakamahi i te ingoa kotahi mo te rorohiko me te kaiwhakamahi. I tua atu, i etahi wa ko te ahua kei te ngana ratou ki te tarai i te ingoa tūmau: hei tauira, mo te punaha me te ingoa DESKTOP-DFTHD7C, ko te nuinga o nga ngana ki te takiuru me te ingoa DFTHD7C:
Na, mena he rorohiko DESKTOP-MARIA koe, tera pea ka ngana koe ki te takiuru hei kaiwhakamahi MARIA.
Ko tetahi atu mea i kitea e au mai i nga raarangi: i runga i te nuinga o nga punaha, ko te nuinga o nga ngana ki te takiuru me te ingoa "kaiwhakahaere". A ehara tenei i te kore take, na te mea i roto i te maha o nga putanga o Windows, kei te noho tenei kaiwhakamahi. I tua atu, kaore e taea te whakakore. Ma tenei ka ngawari te mahi mo te hunga whakaeke: hei utu mo te matapae i te ingoa me te kupuhipa, me tohu noa koe i te kupuhipa.
Ma te ara, ko te punaha i mau i te ransomware ko te Kaiwhakahaere Kaiwhakamahi me te kupuhipa Murmansk#9. Kaore au i te tino mohio me pehea te taumanutia o taua punaha, na te mea i timata ahau ki te aro turuki i muri tonu mai o tera aitua, engari ki taku whakaaro tera pea ka nui rawa atu.
Na, ki te kore e taea te whakakore i te Kaiwhakamahi Kaiwhakamahi, me aha koe? Ka taea e koe te whakaingoa!
Nga taunakitanga mai i tenei waahanga:
- kaua e whakamahi i te ingoa kaiwhakamahi i te ingoa rorohiko
- kia mohio karekau he Kaiwhakamahi Kaiwhakamahi i runga i te punaha
- whakamahi kupuhipa kaha
Na, kua maataki ahau i etahi Tūmau Windows i raro i taku mana e pehia ana mo nga tau e rua inaianei, karekau he angitu.
Me pehea e mohio ai ahau kaore i angitu?
Na te mea kei roto i nga whakaahua o runga ake ka kite koe kei reira nga raarangi o nga waea RDP angitu, kei roto nga korero:
- mai i IP
- mai i te rorohiko (ingoa kaihautū)
- ingoa kaiwhakamahi
- Nga korero GeoIP
A ka tirotirohia e au ki reira i nga wa katoa - karekau he kino i kitea.
Ma te ara, mena kei te kaha te kaha o tetahi IP, ka taea e koe te aukati i nga IP takitahi (me nga kupenga iti) penei i PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockMa te ara, ko Elastic, i tua atu ki a Winlogbeat, kei a ia ano , ka taea te aroturuki i nga konae me nga tukanga i runga i te punaha. He tono SIEM (Haumarutanga me te Whakahaere Takahanga) kei Kibana. I whakamatauria e au nga mea e rua, engari kaore i kitea he painga nui - te ahua nei ka whai hua ake a Auditbeat mo nga punaha Linux, kaore ano a SIEM i whakaatu mai ki ahau i tetahi mea e marama ana.
Ana, nga taunakitanga whakamutunga:
- Hangaia nga taapiri aunoa.
- tāuta Whakahōu Haumarutanga i roto i te wa tika
Takoha: rarangi o nga kaiwhakamahi 50 i whakamahia mo nga whakamatautau takiuru RDP
"kaiwhakamahi.ingoa: E heke ana"
Taatau
dfthd7c (ingoa kaihautū)
842941
winsrv1 (ingoa kaihautū)
266525
WHAKAMAHI KAUPAPA
180678
kaiwhakahaere
163842
Kaiwhakahaere
53541
Michael
23101
tūmau
21983
puku
21936
john
21927
paul
21913
fariiraa
21909
Mike
21899
tari
21888
matawai
21887
scan
21867
Rawiri
21865
chris
21860
rangatira
21855
kaiwhakahaere
21852
kaiwhakahaere
21841
brian
21839
kaiwhakahaere
21837
tohu
21824
kaimahi
21806
ADMIN
12748
pakiaka
7772
KAIwhakahaere
7325
TAUTOKO
5577
Tuhinga
5418
NGĀ KAUPAPA
4558
admin
2832
TEST
1928
mysql
1664
admin
1652
HE WHAKAMAHI
1322
WHAKAMAHI1
1179
WHAKAHUI
1121
SCAN
1032
KAIwhakahaere
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
Tuhinga o mua
490
WHAKAMAHI2
466
Tita
452
SQLADMIN
450
WHAKAMAHI3
441
1
422
HE KARO
418
Tuhinga o mua
410
Source: will.com