E masani ona ou faitau i le manatu o le tatalaina o le RDP (Remote Desktop Protocol) uafu i luga ole Initaneti e matua le saogalemu ma e le tatau ona faia. Ae e te manaʻomia le tuʻuina atu o le avanoa i le RDP pe ala i se VPN, pe naʻo mai nisi tuatusi IP "paʻepaʻe".
Ou te fa'atautaia nisi o Windows Servers mo kamupani laiti sa fa'atonuina a'u i le tu'uina atu o avanoa mamao ile Windows Server mo tausitusi. O le faiga fa'aonaponei - galue mai le fale. Na vave lava, na ou iloa ai o le faʻaleagaina o tausitusi VPN o se galuega le faʻafetai, ma o le aoina uma o IP mo le lisi paʻepaʻe o le a le aoga, aua o tuatusi IP a tagata e malosi.
O le mea lea, na ou uia le auala sili ona faigofie - tuʻuina atu le taulaga RDP i fafo. Ina ia maua le avanoa, e manaʻomia nei e tausitusi le RDP ma ulufale i le igoa talimalo (e aofia ai le taulaga), username ma password.
I lenei tusiga o le a ou faʻasoa atu loʻu poto masani (lelei ae le lelei tele) ma fautuaga.
Tulaga lamatia
O le a le mea e te lamatia i le tatalaina o le RDP uafu?
1) Avanoa le fa'atagaina i fa'amatalaga ma'ale'ale
Afai e mateina e se tasi le upu faʻamaonia RDP, o le a mafai ona latou mauaina faʻamatalaga e te manaʻo e teu faʻalilolilo: tulaga faʻamatalaga, paleni, faʻamatalaga tagata faʻatau, ...
2) Fa'amaumauga leiloa
Mo se faʻataʻitaʻiga, o se taunuuga o se ransomware virus.
Po o se gaioiga ma le loto i ai a se tagata osofaia.
3) Ma'imau fale faigaluega
E manaʻomia e tagata faigaluega ona galulue, ae o le faiga e faʻafefeteina ma e manaʻomia ona toe faʻapipiʻi / toe faʻaleleia / faʻatulagaina.
4) Fetuuna'i o feso'otaiga fa'apitonu'u
Afai e maua e se tagata osofaʻi se avanoa i se komepiuta Windows, ona mafai lea e lenei komepiuta ona faʻaogaina faiga e le mafai ona maua mai fafo, mai le Initaneti. Mo se faʻataʻitaʻiga, e faila sea, i lomitusi fesoʻotaʻiga, ma isi.
Sa i ai la'u mataupu na maua ai e le Windows Server se ransomware
ma o lenei ransomware na muamua faʻailogaina le tele o faila i luga o le C: drive ona amata lea ona faʻailoga faila i luga o le NAS i luga o le upega tafailagi. Talu ai o le NAS o le Synology, faʻatasi ai ma ata faʻapipiʻi, na ou toe faʻaleleia le NAS i le 5 minute, ma toe faʻapipiʻi le Windows Server mai le sasa.
Mata'upu ma Fautuaga
Ou te mataʻituina Windows Servers faʻaaogaina , lea e auina atu ogalaau i ElasticSearch. O Kibana e tele faʻaaliga, ma sa ou faʻatutuina foi se lisi masani.
O le mataʻituina o ia lava e le puipuia, ae e fesoasoani e fuafua ai faiga talafeagai.
O nisi nei o fa'amatalaga:
a) RDP o le a faʻamalosi faʻamalosi.
I luga o se tasi o 'auʻaunaga, na ou faʻapipiʻiina le RDP e le o luga o le faʻailoga masani 3389, ae i luga o le 443 - lelei, o le a ou faʻailogaina aʻu o HTTPS. Atonu e aoga le suia o le uafu mai le tulaga masani, ae o le a le aoga tele. O fuainumera nei mai lenei 'au'aunaga:
E mafai ona iloa i totonu o le vaiaso e toetoe lava 400 taumafaiga le manuia e ulufale mai e ala i le RDP.
E mafai ona iloa o loʻo i ai ni taumafaiga e ulufale mai i tuatusi IP 55 (o nisi tuatusi IP ua uma ona poloka e aʻu).
O lenei mea e taʻu saʻo mai ai le faaiuga e te manaʻomia e seti fail2ban, ae
E leai se aoga fa'apea mo Windows.
O loʻo i ai ni nai galuega tuʻufaʻatasia i luga o Github e foliga mai e faia lenei mea, ae ou te leʻi taumafai e faʻapipiʻi:
O loʻo iai foʻi mea faigaluega totogi, ae ou te leʻi mafaufauina.
Afai e te iloa se faʻaoga avanoa tatala mo lenei faʻamoemoe, faʻamolemole faʻasoa i faʻamatalaga.
tuulata: O faʻamatalaga na fautua mai ai o le taulaga 443 o se filifiliga leaga, ma e sili atu le filifilia o ports maualuga (32000+), aua o le 443 e suʻesuʻeina soo, ma o le iloaina o le RDP i luga o lenei taulaga e le o se faʻafitauli.
b) E iai igoa fa'apitoa e fiafia i ai tagata osofa'i
E mafai ona iloa o le sailiga o loʻo faia i totonu o se lomifefiloi ma igoa eseese.
Ae o le mea lenei na ou matauina: o se numera tele o taumafaiga o loʻo faʻaogaina le igoa o le server e fai ma saini. Fautuaga: Aua le fa'aogaina le igoa tutusa mo le komepiuta ma le tagata fa'aoga. E le gata i lea, o nisi taimi e foliga mai o loʻo latou taumafai e faʻapipiʻi le igoa o le server i se isi itu: mo se faʻataʻitaʻiga, mo se faiga e iai le igoa DESKTOP-DFTHD7C, o le tele o taumafaiga e ulufale i totonu o le igoa DFTHD7C:
E tusa ai, afai e iai sau komepiuta DESKTOP-MARIA, masalo o loʻo e taumafai e saini i totonu o le MARIA faʻaoga.
O le isi mea na ou matauina mai ogalaau: i luga o le tele o faiga, o le tele o taumafaiga e saini i totonu o loʻo i ai le igoa "pule". Ma e leai se mafuaaga, aua i le tele o lomiga o Windows, o loʻo i ai lenei tagata faʻaoga. E le gata i lea, e le mafai ona tapeina. O lenei mea e faʻafaigofie ai le galuega mo tagata osofaʻi: nai lo le mateina o se igoa ma se faʻaupuga, e tatau ona e mateina le upu faʻamaonia.
Ile auala, o le faiga na maua ai le ransomware o loʻo i ai le tagata faʻaoga Pule ma le password Murmansk#9. Ou te le o mautinoa pe faʻafefea ona faʻafefeina lena faiga, aua na amata ona ou mataʻituina ina ua maeʻa lena mea na tupu, ae ou te manatu e foliga mai e sili atu.
Afai la e le mafai ona tape le Administrator user, o le a la le mea e tatau ona e faia? E mafai ona e toe faaigoa!
Fautuaga mai lenei parakalafa:
- aua le fa'aogaina le igoa ole igoa ile igoa komepiuta
- ia mautinoa e leai se Administrator user i luga o le polokalama
- fa'aoga upu fa'amalosi malosi
O lea la, sa ou matamata i le tele o Windows Servers i lalo o laʻu pule o loʻo faʻamalosi-faʻamalosi mo le tusa ma le lua tausaga i le taimi nei, ma e aunoa ma se manuia.
E faapefea ona ou iloa ua le manuia?
Aua i faʻamalama o loʻo i luga e mafai ona e vaʻaia o loʻo i ai ni ogalaau o telefoni RDP manuia, o loʻo i ai faʻamatalaga:
- mai lea IP
- mai fea komepiuta (igoa talimalo)
- Igoa Igoa
- Fa'amatalaga GeoIP
Ma ou te siakiina iina e le aunoa - e leai ni faʻalavelave na maua.
I le auala, afai o se IP patino o loʻo faʻamalosi-faʻamalosi malosi, ona mafai lea ona e poloka IP taʻitasi (poʻo subnets) pei o lenei i PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockI le auala, Elastic, faʻaopoopo i Winlogbeat, e iai foi , lea e mafai ona mataʻituina faila ma faiga i luga o le polokalama. O loʻo iai foʻi le SIEM (Security Information & Event Management) talosaga i Kibana. Sa ou taumafai uma e lua, ae e leʻi tele se aoga - e foliga mai o le a sili atu ona aoga le Auditbeat mo Linux, ma e leʻi faʻaalia mai e le SIEM ia te aʻu se mea e malamalama ai.
Ia, fautuaga mulimuli:
- Faia otometi faaleoleo masani.
- faʻapipiʻi Faʻamatalaga Puipuiga i se taimi talafeagai
Ponesi: lisi o 50 tagata faʻaoga na masani ona faʻaogaina mo taumafaiga faʻaoga RDP
"user.name: Alu ifo"
Faitau
dfthd7c (igoa talimalo)
842941
winsrv1 (igoa talimalo)
266525
FAʻATONU
180678
pule
163842
pule
53541
michael
23101
faigaluega
21983
vaʻa
21936
Ioane
21927
paulo
21913
tali
21909
Mike
21899
tofi
21888
scanner
21887
tagai vave
21867
Tavita
21865
Chris
21860
pule
21855
pule
21852
pule
21841
brian
21839
pule
21837
togi
21824
aufaigāluega
21806
ADMIN
12748
aʻa
7772
PULE
7325
LAGOLAGO
5577
LAGOLAGO
5418
Tagata faʻaaoga
4558
tufa
2832
TEST
1928
mysql
1664
tufa
1652
TALI
1322
Tagata faʻaoga1
1179
SAUNIGA
1121
SCAN
1032
PULEGA
842
ADMIN1
525
TOTONU
518
MySqlAdmin
518
TALITONUINA
490
Tagata faʻaoga2
466
MATUA
452
SQLADMIN
450
Tagata faʻaoga3
441
1
422
Pule
418
tagata e ona
410
puna: www.habr.com