我經常看到這樣的觀點:保持 RDP(遠端桌面協定)連接埠對網路開放是非常不安全的,不應該這樣做。但必須透過 VPN 或僅從某些「白色」 IP 位址提供對 RDP 的存取。
我為小型企業管理幾台 Windows 伺服器,我的任務是為會計提供對 Windows 伺服器的遠端存取。這就是現代趨勢——在家工作。我很快就意識到,用 VPN 折磨會計是一項吃力不討好的工作,收集白名單中的所有 IP 也行不通,因為人們都有動態 IP 位址。
所以我採取了最簡單的方法——將 RDP 連接埠轉發到外面。現在,要訪問,會計需要啟動 RDP 並輸入主機名稱(包括連接埠)、使用者名稱和密碼。
在本文中,我將分享我的經驗(積極的和不那麼積極的)和建議。
風險
開啟 RDP 連接埠會面臨什麼風險?
1)未經授權存取敏感數據
如果有人猜出 RDP 的密碼,他們將能夠取得您想要保密的資料:帳戶狀態、餘額、客戶資料…
2)資料遺失
例如,由於勒索病毒的運作。
或是攻擊者的故意行為。
3)工作站丟失
工人需要工作,系統受到損害,需要重新安裝/恢復/配置。
4)本地網路入侵
如果攻擊者獲得了對 Windows 電腦的存取權限,那麼他將能夠從這台電腦存取無法從外部、從網路存取的系統。例如,檔案共用、網路印表機等。
我曾經遇過 Windows Server 感染勒索軟體的情況
而該勒索病毒首先加密了C盤上的大部分文件,然後開始透過網路加密NAS上的文件。由於 NAS 是 Synology,並配置了快照,因此我在 5 分鐘內恢復了 NAS,並從頭開始重新安裝了 Windows Server。
觀察和建議
我使用以下方式監控 Windows 伺服器 ,它將日誌發送到 ElasticSearch。 Kibana 有幾個視覺化功能,我還為自己設定了一個自訂儀表板。
監測本身並不能起到保護作用,但它有助於確定必要的措施。
以下是一些觀察:
a) RDP 將被暴力破解。
在其中一台伺服器上,我沒有在標準連接埠 3389 上設定 RDP,而是在 443 上設定 - 這樣我就可以偽裝成 HTTPS。可能值得將連接埠從標準連接埠更改,但不會有什麼好處。以下是該伺服器的統計數據:
可以看出,一週內透過 RDP 登入嘗試失敗的次數接近 400 萬次。
很明顯,有 55 個 IP 位址嘗試登入(其中一些 IP 位址已被我封鎖)。
這直接表示你需要安裝 fail2ban,但是
Windows 上沒有這樣的實用程式。
GitHub 上有幾個被廢棄的專案似乎可以做到這一點,但我什至還沒有嘗試安裝它們:
還有一些付費實用程序,但我還沒看過。
如果您知道用於此目的的開源實用程序,請在評論中分享。
更新狀態:評論建議連接埠 443 不是一個好的選擇,最好選擇高連接埠(32000+),因為 443 被掃描的次數更多,並且在此連接埠上識別 RDP 不是問題。
更新: 評論表明存在這樣的實用程式:
b) 攻擊者喜歡使用某些使用者名
很明顯,搜尋是透過具有不同名稱的字典進行的。
但我注意到:大量嘗試都使用伺服器名稱作為登入名稱。建議:不要對電腦和使用者使用相同的名稱。此外,有時他們似乎試圖以某種方式解析伺服器名稱:例如,對於名稱為 DESKTOP-DFTHD7C 的系統,大多數嘗試都是使用名稱 DFTHD7C 登入:
因此,如果您有一台 DESKTOP-MARIA 計算機,那麼可能會嘗試以 MARIA 使用者身分登入。
我從日誌中註意到的另一件事是:在大多數系統上,大多數登入嘗試都使用「管理員」的名稱。而這也不是沒有道理的,因為在許多版本的Windows中,都有這個使用者的存在。而且,它無法被刪除。這簡化了攻擊者的任務:您不需要猜測名稱和密碼,而只需要猜測密碼。
順便說一下,捕獲加密器的系統有使用者管理員和密碼 Murmansk#9。我仍然不確定該系統是如何被駭客入侵的,因為我在事件發生後立即開始監控它,但我認為暴力破解是可能的。
那如果Administrator用戶無法刪除,那我們該怎麼辦呢?可以改名啊!
從這一點出發的建議:
- 不要在電腦名稱中使用使用者名稱
- 確保系統上沒有管理員用戶
- 使用強密碼
因此,大約幾年來,我一直在觀察我控制的幾台 Windows 伺服器被暴力破解,但沒有成功。
我怎麼知道它不成功?
因為在上面的截圖中你可以看到有成功的RDP登入的日誌,其中包含資訊:
- 來自哪個IP
- 來自哪台電腦(主機名稱)
- 用戶名
- GeoIP 訊息
我定期檢查那裡——沒有發現任何異常。
順便說一句,如果他們對某些 IP 進行特別強力的暴力破解,那麼你可以在 PowerShell 中像這樣阻止單一 IP(或子網路):
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block順便說一下,Elastic 除了 Winlogbeat 之外,還有 ,可以監視系統上的檔案和進程。 Kibana 中還有一個 SIEM(安全資訊和事件管理)應用程式。我嘗試了兩者,但沒有看到太多好處——Auditbeat 似乎對 Linux 系統更有用,而 SIEM 還沒有向我展示任何可理解的東西。
好吧,以下是最終的建議:
- 定期進行自動備份。
- 按時安裝安全性更新
獎勵:50 個最常用於 RDP 登入嘗試的使用者列表
“用戶名:降序”
計數
dfthd7c(主機名稱)
842941
winsrv1(主機名稱)
266525
管理員
180678
管理員
163842
管理員
53541
邁克爾
23101
服務器
21983
史蒂夫
21936
約翰
21927
保羅
21913
招待會
21909
麥克風
21899
辦公室
21888
掃描器
21887
瀏覽
21867
大衛
21865
克里斯
21860
業主
21855
經理
21852
administrateur
21841
布賴恩
21839
管理員
21837
標記
21824
員工
21806
ADMIN
12748
根
7772
行政人員
7325
了解更多
5577
支持
5418
USER
4558
管理員
2832
聯絡我們
1928
MySQL的
1664
聯繫
1652
來賓
1322
用戶1
1179
掃描器
1121
SCAN
1032
管理員
842
管理員1
525
BACKUP
518
MySqlAdmin
518
接待
490
用戶2
466
TEMP
452
SQL管理員
450
用戶3
441
1
422
MANAGER
418
OWNER
410
來源: www.habr.com
