Užitočné tipy

Ako zabezpečiť pripojenie k vzdialenej ploche

Pin
Send
Share
Send
Send


lis Win + x a vyberte „Správa počítača“:

Potom vyberte „Miestni používatelia“ - → „Používatelia“ - → kliknite pravým tlačidlom myši na meno používateľa "Administrátor" a vyberte "Premenovať":

Premenujte používateľa a použite tento názov pre následné pripojenia k vzdialenej ploche.

Zablokujte pripojenia RDP pre účty s prázdnym heslom

Zabezpečenie môžete zvýšiť tým, že používateľom zabránite v pripájaní k účtom pomocou prázdneho hesla. Za týmto účelom povolte zásady zabezpečenia „Účty“: povoľte používanie prázdnych hesiel iba pri prihlásení do konzoly “:

Otvorte svoju miestnu bezpečnostnú politiku (kliknite na Win + r a zadajte príkaz secpol.msc)

Prejdite do časti „Miestni politici“ –-> „Nastavenia zabezpečenia“.

3. Dvakrát kliknite na politiku „Účty: umožňujú použitie prázdnych hesiel. " a uistite sa, že je zapnutá:

Táto vec je užitočná, preto túto možnosť neignorujte.

Chráni Burtfors

Ak chcete zablokovať viac pokusov o pripojenie s nesprávnymi údajmi, môžete monitorovať denník udalostí a manuálne blokovať útočné adresy IP pomocou brány firewall systému Windows alebo použiť hotovú aplikáciu. Druhý prípad posudzujeme podrobnejšie.

Na zablokovanie útočiacich adries IP použijeme voľne šírený softvér - IPBan. Táto aplikácia bola testovaná a beží na Windows Server 2008 a všetkých nasledujúcich verziách. Windows XP a Server 2003 - nie sú podporované. Algoritmus jeho činnosti je jednoduchý: program monitoruje protokol udalostí systému Windows, zaznamenáva neúspešné pokusy o prihlásenie a po 5 pokusoch útočníka o vyzdvihnutie hesla blokuje IP adresu na 24 hodín.

  1. Stiahnite si archív s programom tu,
  2. Obsahuje dva archívy IPBan-Linux-x64.zip a IPBan-Windows-x86.zip, potrebujeme poslednú. Rozbaľte archív IPBan-Windows-x86.zip na akékoľvek vhodné miesto (v príklade je to koreň disku C:),
  3. Pretože systém automaticky blokuje súbory stiahnuté z Internetu z bezpečnostných dôvodov, aby aplikácia fungovala, musia byť všetky súbory odomknuté. Pravým tlačidlom myši kliknite na všetky extrahované súbory a vyberte vlastnosti. Ak je táto možnosť k dispozícii, nezabudnite vybrať možnosť „odomknúť“. Alebo otvorte okno PowerShell (Win + R, vstúpiť PowerShella "OK") a použite príkaz v nasledujúcom formulári:

4. V lokálnej bezpečnostnej politike musíte vykonať nasledujúce zmeny, aby ste sa uistili, že adresy IP sú zobrazené v systémových denníkoch. Otvorte „Pravidlá miestnej bezpečnosti“ (Win + R, vstúpiť secpol.msc a „OKPrejdite na „Miestne zásady“ -> „Zásady auditu“ a povoľte protokolovanie zlyhaní pri „Logon Audit“ a „Logon Logon Events“:

5. V prípade systému Windows Server 2008 alebo jeho ekvivalentu by ste mali zakázať prihlásenie NTLM a povoliť iba prihlásenie NTLM2. V systéme Windows Server 2008 neexistuje žiadny iný spôsob, ako získať adresu IP na prihlásenie do systému NTLM. Otvorte „Pravidlá miestnej bezpečnosti“ (Win + R, vstúpiť secpol.msc a „OKPrejdite na „Lokálne politiky“ -> „Bezpečnostné nastavenia“ -> „Zabezpečenie siete: obmedzenia NTLM: prichádzajúci prenos NTLM“ a nastavte hodnotu na „Zakázať všetky účty“:

6. Teraz musíte vytvoriť službu IPBan, aby sa aplikácia spustila pri štarte systému a bežala na pozadí. Spustite modul PowerShell (Win + R, vstúpiť PowerShella "OK") a vykonajte príkaz ako:

Choďte na služby (Win + R, vstúpiť services.msc a „OK") a sspustiť službu IPBAN, v budúcnosti sa spustí automaticky:

V „Správcovi úloh“ môžete overiť, či je služba spustená:

Program teda sleduje neúspešné pokusy o autorizáciu a pridáva nevhodné adresy IP do vytvoreného pravidla pre prichádzajúce pripojenia k bráne Windows Firewall:

Blokované adresy IP je možné odblokovať manuálne. Vo vlastnostiach pravidla „IPBan_0“ prejdite na kartu „Rozsah“ a odstráňte zo zoznamu adresu IP, ktorú potrebujete:

Ako chrániť RDP a vyladiť jeho výkon

Šifrovanie a bezpečnosťMusíte otvoriť gpedit.msc, v časti „Konfigurácia počítača - Šablóny pre správu - Komponenty Windows - Služby vzdialenej pracovnej plochy - Zabezpečenie“ nastavte parameter „Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia pomocou metódy RDP“ a v časti „Úroveň zabezpečenia“ vyberte „SSL TLS“ , V časti „Nastaviť úroveň šifrovania pre pripojenia klientov“ vyberte možnosť „Vysoká“. Ak chcete povoliť používanie systému FIPS 140-1, prejdite do časti Konfigurácia počítača - Konfigurácia systému Windows - Nastavenia zabezpečenia - Miestne politiky - Nastavenia zabezpečenia a vyberte položku Systémová kryptografia: na šifrovanie, hashovanie a podpisovanie použite algoritmy kompatibilné s FIPS. Mala by sa povoliť možnosť „Konfigurácia počítača - nastavenia systému Windows - nastavenia zabezpečenia - miestne politiky - nastavenia zabezpečenia“, možnosť „Účty: povoľovať používanie prázdnych hesiel iba pri prihlásení do konzoly“. Skontrolujte zoznam používateľov, ktorí sa môžu pripojiť prostredníctvom protokolu RDP.
optimalizáciaOtvorte "Konfigurácia počítača - Šablóny pre správu - Komponenty Windows - Služby vzdialenej pracovnej plochy - Prostredie vzdialenej relácie". V položke „Maximálna farebná hĺbka“ stačí 16 bitov. Zrušte začiarknutie políčka Vynútiť zrušenie pozadia vzdialenej pracovnej plochy. V časti „Nastavenie algoritmu kompresie RDP“ nastavte možnosť „Optimalizácia šírky pásma“. V časti Optimalizácia vizuálnych efektov pre relácie služby Vzdialená pracovná plocha nastavte hodnotu na Text. Zakázať vyhladenie písma.

Základné nastavenie bolo dokončené. Ako sa pripojiť k vzdialenej ploche?

Pravidelne inštalujte dôležité aktualizácie systému Windows Server a softvéru

Aktualizácia operačného systému a nainštalovaného softvéru, okrem riešenia problémov so softvérom, pomáha chrániť váš server pred niektorými zraniteľnými miestami, o ktorých sa vývojári dozvedeli pred vydaním aktualizácie. Môžete nakonfigurovať systém Windows tak, aby automaticky sťahoval (inštaloval) dôležité a odporúčané aktualizácie pomocou tohto nástroja Windows Update.

Pripojenie k vzdialenej ploche

Ak sa chcete pripojiť pomocou protokolu RDP, musíte mať na vzdialenom počítači účet s heslom, v systéme musia byť povolené vzdialené pripojenia a aby sa nemenili prístupové údaje s neustále sa meniacou dynamickou adresou IP, môžete v sieťových nastaveniach prideliť statickú adresu IP. Vzdialený prístup je k dispozícii iba v počítačoch so systémom Windows Pro, Enterprise alebo Ultimate.

Ak sa chcete vzdialene pripojiť k počítaču, musíte povoliť pripojenie v časti „Vlastnosti systému“ a nastaviť heslo pre aktuálneho používateľa alebo vytvoriť nového používateľa pre program RDP. Používatelia bežných účtov nemajú právo samostatne poskytovať počítač na vzdialenú správu. Takéto právo im môže udeliť správca. Prekážkou pri používaní protokolu RDP môže byť jeho blokovanie antivírusmi. V takom prípade musí byť v nastaveniach antivírusu povolená RDP.

Je potrebné poznamenať, že niektoré serverové OS majú určitú funkciu: ak sa ten istý používateľ pokúsi prihlásiť na server lokálne a vzdialene, lokálna relácia sa uzavrie a vzdialená sa otvorí na rovnakom mieste. Naopak, keď sa prihlásite lokálne, vzdialená relácia sa uzavrie. Ak sa prihlásite lokálne ako jeden užívateľ a vzdialene ako druhý, systém ukončí lokálnu reláciu.

RDP sa pripája medzi počítačmi nachádzajúcimi sa v tej istej lokálnej sieti alebo cez internet, bude to však vyžadovať ďalšie kroky - zaslanie portu 3389 na smerovači alebo pripojenie k vzdialenému počítaču prostredníctvom VPN.

Ak sa chcete pripojiť k vzdialenej ploche v systéme Windows 10, môžete povoliť vzdialené pripojenie v časti „Nastavenia - Systém - Vzdialená plocha“ a určiť používateľov, ktorým musí byť udelený prístup, alebo pre pripojenie vytvoriť samostatného používateľa. V predvolenom nastavení má aktuálny používateľ a správca prístup. Na vzdialenom systéme spustite obslužný program pre pripojenie.

Stlačte Win + R, napíšte MSTSC a stlačte Enter. V okne zadajte IP adresu alebo názov počítača, zvoľte „Pripojiť“, zadajte užívateľské meno a heslo. Zobrazí sa obrazovka vzdialeného počítača.


Pri pripájaní k vzdialenej ploche pomocou príkazového riadka (MSTSC) môžete zadať ďalšie parametre RDP:
parameterhodnota
/ v:
Vzdialený počítač, ku ktorému sa pripájate.
/ admin
Ak chcete spravovať server, pripojte sa k relácii.
/ upraviť
Úpravy súboru RDP.
/ f
Spustite vzdialenú plochu na celej obrazovke.
/ w:
Šírka okna vzdialenej pracovnej plochy.
/ h:
Výška okna vzdialenej pracovnej plochy.
/ public
Spustenie vzdialenej pracovnej plochy vo všeobecnom režime.
/ span
Priraďte šírku a výšku vzdialenej pracovnej plochy k miestnej virtuálnej pracovnej ploche a nasaďte ju na viacero monitorov.
/ multimon
Konfiguruje umiestnenie monitorov relácie RDP podľa aktuálnej konfigurácie na strane klienta.
/ migrovať
Migrujte staršie súbory pripojenia do nových súborov .rdp.

V systéme Mac OS spoločnosť Microsoft vydala oficiálneho klienta RDP, ktorý stabilne funguje, keď je pripojený k akejkoľvek verzii systému Windows. V systéme Mac OS X sa na pripojenie k počítaču so systémom Windows vyžaduje stiahnutie aplikácie Microsoft Remote Desktop z App Store. V ňom môžete pomocou tlačidla Plus pridať vzdialený počítač: zadajte jeho IP adresu, užívateľské meno a heslo. Dvojitým kliknutím na názov vzdialenej pracovnej plochy v zozname pripojení sa otvorí pracovná plocha systému Windows.

Na smartfónoch a tabletoch so systémom Android a iOS musíte nainštalovať a spustiť aplikáciu Microsoft Remote Desktop („Microsoft Remote Desktop“). Vyberte „Pridať“, zadajte parametre pripojenia - IP adresu počítača, používateľské meno a heslo na prihlásenie do Windows. Ďalším spôsobom je poslať port 3389 na IP adresu počítača na smerovači a pomocou tohto portu sa pripojiť na verejnú adresu smerovača. Toto sa vykonáva pomocou možnosti smerovača Port Forwarding. Vyberte možnosť Pridať a zadajte:


A čo Linux? RDP je uzavretý protokol spoločnosti Microsoft, neuvoľňuje klientov RDP pre Linux, ale môžete použiť klienta Remmina. Používatelia Ubuntu majú špeciálne úložiská s Remminou a RDP.

RDP sa používa aj na pripojenie k virtuálnym počítačom Hyper-V. Na rozdiel od okna pripojenia hypervisora, virtuálny stroj pri pripojení prostredníctvom protokolu RDP vidí rôzne zariadenia pripojené k fyzickému počítaču, podporuje prácu so zvukom, poskytuje lepší obraz pracovnej plochy hosťujúceho OS atď.

V prípade poskytovateľov zdieľaného hostenia sú Windows VPS štandardne k dispozícii aj na pripojenie pomocou štandardného protokolu RDP. Pri používaní štandardného operačného systému Windows na pripojenie k serveru stačí vybrať: „Štart - Programy - Príslušenstvo - Pripojiť k vzdialenej ploche“ alebo stlačte Win + R av otvorenom okne zadajte MSTSC. V okne sa zadá IP adresa servera VPS.

Kliknutím na tlačidlo „Pripojiť“ sa zobrazí okno s autorizačnými poľami.

Aby boli zariadenia USB a sieťové tlačiarne pripojené k počítaču prístupné k serveru, pri prvom pripojení k serveru vyberte v ľavom dolnom rohu možnosť „Zobraziť nastavenia“. V okne kliknite na kartu „Miestne zdroje“ a vyberte požadované parametre.

Pomocou možnosti uloženia autorizačných údajov na vzdialenom počítači je možné parametre pripojenia (IP adresa, užívateľské meno a heslo) uložiť do samostatného súboru RDP a použiť na inom počítači.

Konfigurácia ďalších funkcií vzdialeného prístupu

Okno na pripojenie k vzdialenému počítaču obsahuje karty s prispôsobiteľnými parametrami.

vložiťvymenovanie
"Screen"Nastaví rozlíšenie obrazovky vzdialeného počítača, tj okno pomocného programu po pripojení. Môžete nastaviť nízke rozlíšenie a obetovať farebnú hĺbku.
„Miestne zdroje“Ak chcete šetriť systémové prostriedky, môžete vypnúť zvuk na vzdialenom počítači. V časti lokálne zariadenia môžete vybrať tlačiareň a ďalšie zariadenia hlavného počítača, ktoré budú k dispozícii na vzdialenom počítači, napríklad zariadenia USB, pamäťové karty alebo externé jednotky.

Podrobnosti o nastavení vzdialenej pracovnej plochy v systéme Windows 10 sú v tomto videu. Teraz späť k bezpečnosti RDP.

Ako „uniesť“ reláciu RDP?

Môžem zachytiť relácie RDS? A ako sa pred tým chrániť? O možnosti ukradnutia relácie RDP v systéme Microsoft Windows je známe už od roku 2011 a pred rokom výskumník Alexander Korznikov vo svojom blogu podrobne opísal techniky únosov. Ukazuje sa, že je možné sa pripojiť k akejkoľvek spustenej relácii v systéme Windows (s akýmikoľvek právami) a byť prihlásený pod iným.

Niektoré techniky umožňujú zachytiť reláciu bez prihlasovacieho hesla. Potrebujete iba prístup k príkazovému riadku NT AUTHORITY / SYSTEM. Ak spustíte program tscon.exe ako používateľ systému, môžete sa pripojiť k ľubovoľnej relácii bez hesla. Program RDP nevyžaduje heslo, iba vás pripojí k pracovnej ploche používateľa. Môžete napríklad výpis pamäte servera a získať užívateľské heslá. Jednoduchým spustením programu tscon.exe s číslom relácie získate pracovnú plochu zadaného používateľa - bez externých nástrojov. Jediným príkazom teda máme hacknutú reláciu RDP. Ak ste predtým nainštalovali pomôcku psexec.exe, môžete tiež použiť:


Alebo si môžete vytvoriť službu, ktorá spojí napadnutý účet a spustí ho, potom bude vaša relácia nahradená cieľom. Tu je niekoľko poznámok o tom, ako ďaleko to ide:

  • Môžete sa pripojiť k odpojeným reláciám. Preto, ak sa niekto odhlásil pred pár dňami, môžete sa jednoducho pripojiť priamo k svojej relácii a začať ju používať.
  • Môžete odomknúť uzamknuté relácie. Preto, keď je používateľ mimo svojho pracoviska, vstúpite do jeho relácie a bude odomknutý bez akýchkoľvek poverení. Zamestnanec sa napríklad prihlási do svojho účtu a potom odíde, zablokuje účet (ale neodhlási sa). Relácia je aktívna a všetky aplikácie zostanú v rovnakom stave. Ak sa správca systému prihlási do svojho účtu na rovnakom počítači, získa prístup k účtu zamestnanca, a teda ku všetkým spusteným aplikáciám.
  • Ak máte práva miestneho správcu, môžete zaútočiť na účet s právami správcu domény, t. vyššie ako práva útočníka.
  • Môžete sa pripojiť k akejkoľvek relácii. Ak je to napríklad Helpdesk, môžete sa k nemu pripojiť bez akejkoľvek autentifikácie. Ak je to správca domény, stanete sa administrátorom. Vďaka možnosti pripojenia k odpojeným reláciám získate jednoduchý spôsob navigácie v sieti. Útočníci teda môžu tieto metódy použiť na prienik aj na ďalšiu propagáciu v sieti spoločnosti.
  • Využitia win32k môžete použiť na získanie povolení systému a potom použiť túto funkciu. Ak záplaty nie sú aplikované správne, je to prístupné aj priemernému užívateľovi.
  • Ak neviete, čo sledovať, nebudete vedieť, čo sa deje.
  • Metóda funguje na diaľku. Relácie môžete vykonávať na vzdialených počítačoch, aj keď nie ste prihlásení na server.

Táto hrozba je vystavená mnohým operačným systémom serverov a počet serverov využívajúcich RDP neustále rastie. Ukázalo sa, že je zraniteľný voči Windows 2012 R2, Windows 2008, Windows 10 a Windows 7. Aby sa zabránilo únosom relácií RDP, odporúča sa používať dvojfaktorové overenie. Aktualizovaná Sysmon Framework pre ArcSight a Sysmon Integration Framework for Splunk varujú administrátora o spúšťaní škodlivých príkazov, aby uniesli reláciu RDP. Na sledovanie bezpečnostných udalostí môžete použiť aj pomôcku Windows Security Monitor.

Nakoniec zvážte, ako odstrániť pripojenie k vzdialenej ploche. Toto je užitočné opatrenie, ak potreba vzdialeného prístupu zmizla alebo ak chcete zabrániť tomu, aby sa k vzdialenej ploche pripojili aj osoby zvonka. Otvorte "Ovládací panel - Systém a zabezpečenie - Systém". V ľavom stĺpci kliknite na položku Konfigurovať vzdialený prístup. V časti Vzdialená plocha vyberte možnosť Nepovoliť pripojenia k tomuto počítaču. Teraz sa k vám nikto nemôže pripojiť prostredníctvom vzdialenej pracovnej plochy.

Na záver by som rád uviedol, že pri práci so vzdialenou pracovnou plochou systému Windows 10 a jednoducho so vzdialeným prístupom sa vám môže hodiť niekoľko ďalších hackov.

    Aplikáciu OneDrive môžete použiť na prístup k súborom na vzdialenom počítači:

Ako reštartovať vzdialené PC vo Win10? Stlačte kombináciu klávesov Alt + F4. Otvorí sa okno:

spôsoby, ako riešiť

Existuje veľa spôsobov, ako tento problém vyriešiť. Najobľúbenejším riešením je však použitie vstavanej schopnosti systému Windows XP / 7/8 Professional na pripojenie k vzdialenej ploche pomocou protokolu RDP.

Môže však tento spôsob pripojenia vždy zaistiť bezpečnosť a zabezpečenie pripojeného počítačového vybavenia? V tomto článku, ktorý je napísaný na základe materiálu pripraveného spoločnosťou 2X Software, zvážime hlavné hrozby tohto typu pripojenia a uvedieme niekoľko tipov, ako zabrániť neoprávnenému prístupu k počítaču používateľa.

Služby vzdialenej pracovnej plochy (RDP) poskytujú spoločnostiam rozsiahle príležitosti na efektívne využívanie informačných zdrojov. Navyše služby RDP sú už integrované do hlavných verzií systému Windows. Hackovanie vzdialených stolových počítačov je však naďalej veľmi dôležitou témou. Количество попыток взлома растет пропорционально количеству удаленных подключений. Будь то кража личных сведений или конфиденциальных данных, открытые порты RDP всегда привлекают хакеров для проведения атак. Поэтому для организаций важно знать об уязвимостях в технологии RDP и том, как можно защитить свои сети.

Как можно взломать RDP?

Существует много различных способов взлома RDP-подключений, но наиболее распространенным является использование так называемого «IP-сканера». Existuje dostatočný počet bezplatných programov, ktoré používajú pripojenie na internet a skenujú externé adresy IP počítačov používateľov. Pomocou tohto softvéru hackeri vyberú štandardný port 3389 na skenovanie konkrétneho rozsahu IP adries. Program hacker, ktorý úlohu plní, nájde a uloží zoznam nájdených adries IP. Ďalej podľa tohto zoznamu sa program pripája ku každému počítaču, ktorý nájde, a automaticky sa pokúša hrubým násilím zadať užívateľské meno a heslo.

Existuje veľa hesiel, ktoré sa používajú najčastejšie. Napríklad prihlásenie „správca„A heslo“12345". Útočník tak preniká do vášho počítača. Ak je používateľ správcu vlastníkom práv správcu, hacker sa v tomto prípade stáva úplným vlastníkom počítača (k vášmu veľkému nešťastiu).

Ak je nadviazané spojenie, útočníci môžu:

  • Prístup k citlivým alebo osobným údajom
  • vykonávať nelegálne bankové transakcie,
  • používať počítač na prienik do iných sietí
  • používať počítač ako súčasť siete botnetov na vykonávanie budúcich útokov na iné počítače.

Preto sa spoločnosť musí vopred postarať o zvýšenie stupňa ochrany vzdialených staníc svojich zamestnancov.

Ako zabrániť krádeži identity cez vzdialenú plochu

Na vytvorenie bezpečnej a vysokovýkonnej infraštruktúry vzdialených staníc musia spoločnosti prijať určité bezpečnostné opatrenia. Nižšie sú uvedené niektoré pokyny.

Prísna politika hesiel

Spoločnosti musia zabezpečiť, aby používatelia vytvorili zložité heslá, ktoré sa nedajú ľahko uhádnuť. Pri implementácii tejto politiky musia používatelia vytvárať heslá z kombinácií čísiel, písmen a špeciálnych znakov. Zároveň je potrebné pravidelne meniť heslá. Nie je možné použiť verejné heslá, ako napríklad admin, test alebo heslo. Okrem toho môžete po niekoľkých neúspešných pokusoch o prihlásenie vytvoriť politiku blokovania účtu.

Zmena čísla portu RDP a filtrovanie podľa MAC a IP adries

V predvolenom nastavení sa na pripojenie RDP používa port 3389, ale môžete skúsiť použiť iné. Organizácie môžu, kedykoľvek je to možné, prideliť port RDP konkrétnym adresám IP. Spoločnosti môžu napríklad obmedziť vzdialený prístup do určitých častí kancelárie. To však nemusí byť veľmi výhodné, ak poskytujete prístup k sieti používateľom, ktorí často cestujú na služobné cesty a môžu sa pripojiť k podnikovej sieti z hotela alebo z iných miest. Je vhodnejšie nastaviť filtrovanie sieťových zariadení, ktoré budú pripojené prostredníctvom portu RDP, pomocou MAC adries.

Na ochranu pripojení RDP je vhodné vytvoriť tunel virtuálnej súkromnej siete (VPN). V tuneli VPN je zabezpečenie pripojenia zabezpečené šifrovaním prenosu. Dodatočná ochrana pre pripojenia RDP sa poskytuje pomocou overovania na úrovni siete, ktoré overuje poverenia pred poskytnutím vzdialeného pripojenia.

Pravidelné aktualizácie operačného systému

Napriek tomu, že spoločnosti zavádzajú bezpečnostné riešenia na stále vyššej úrovni v sieťach RDP, je potrebné aktualizovať operačný systém.

Navrhované riešenie

Veľmi dobrým spôsobom, ako vyriešiť uvedené problémy komplexne, a tým zabezpečiť vaše pripojenie k vzdialenej ploche, je použitie softvérových riešení softvéru 2X.

2X ApplicationServer XG (2X RAS) - jedinečný produkt, ktorý vám umožňuje zorganizovať systém vzdialeného prístupu k pracovným osobným počítačom, relácie na terminálových serveroch a virtuálnych strojoch prostredníctvom zabezpečeného komunikačného kanála. Zároveň je optimalizovaný proces správy aplikácií a vyrovnávania záťaže sieťových prostriedkov.

Používajte iba softvér z dôveryhodných zdrojov.

Napriek rozšíreniu vysoko kvalitných softvérových produktov s otvoreným zdrojovým kódom, ktoré sú k dispozícii „na jedno kliknutie“, vás žiadame, aby ste si pred inštaláciou preštudovali známe zraniteľné miesta takéhoto softvéru a na sťahovanie distribúcií používali iba oficiálne zdroje. Je to nezávislá inštalácia zraniteľného alebo už „zabaleného“ vírusového kódu správcom alebo používateľom, ktorá často spôsobuje problémy s bezpečnosťou infraštruktúry.

Venujte náležitú pozornosť nastaveniu brány firewall.

V prípade serverov Windows Server prístupných cez internet, ktoré nie sú umiestnené za vyhradeným zariadením fungujúcim ako brána firewall, je brána Windows Firewall jediným nástrojom na ochranu externých pripojení k serveru. Zakázanie nepoužitých povolení a pridávanie pravidiel zákazu bude znamenať, že menej portov na serveri bude počúvať externý prichádzajúci prenos, čo znižuje pravdepodobnosť útokov na tieto porty. Napríklad pre fungovanie štandardného webového servera stačí otvoriť nasledujúce porty:
80 - HTTP
443 - HTTPS

Pre porty, na ktoré by mal zostať prístup otvorený, by ste mali obmedziť rozsah zdrojov pripojenia vytvorením „bieleho zoznamu“ IP adries, z ktorých sa budú prijímať hovory. Môžete to urobiť v pravidlách brány firewall systému Windows. Zabezpečí sa tým, že ho má každý, kto potrebuje prístup k serveru, ale je zakázaný pre tých, ktorí nie sú „povolaní“.

Nasleduje zoznam portov, ktorých prístup je lepšie obmedzený iba na okruh klientov zahrnutých do bielej listiny IP:

  • 3389 - Štandardný port RDP
  • 990 - FTPS
  • 5000-5050 porty pre FTP v pasívnom režime
  • 1433-1434 - štandardné porty SQL
  • 53 - DNS

Ak je to možné, použite na prácu s obmedzeným účtom.

Na vykonávanie úloh, ktoré nevyžadujú administrátorské práva, sa odporúča použiť bežný používateľský účet. V prípade prieniku do systému, vč. v dôsledku akcií používateľa zostane úroveň zraniteľnosti servera na úrovni oprávnenia tohto používateľa. V prípade získania neoprávneného prístupu k účtu bude mať administrátor tiež neobmedzený prístup k správe systému.

Nezdieľajte adresáre bez zadania hesla, rozlišujte práva na zdieľanie

Nikdy nepovoľujte pripojenie k verejným zložkám servera bez zadania hesla a anonymného prístupu. Toto vylučuje možnosť ľahkého získania neoprávneného prístupu k vašim súborom. Aj keď samotné tieto súbory nemajú pre útočníka žiadnu hodnotu, môžu sa stať „oknom“ na ďalšie narušenie, pretože používatelia vašej infraštruktúry s najväčšou pravdepodobnosťou týmto súborom dôverujú a je nepravdepodobné, že by ich pri každom spustení skontrolovali na prítomnosť škodlivého kódu.

Okrem povinného používania hesla je žiaduce rozlišovať medzi prístupovými právami na zdieľané adresáre pre svojich používateľov. Je omnoho ľahšie ustanoviť obmedzené práva pre používateľov, ktorí nepotrebujú úplný prístup (zápis / čítanie / zmena), ako zabezpečiť, aby žiadny z klientskych účtov nebol následne kompromitovaný, čo môže mať nepriaznivé dôsledky pre ostatných klientov, ktorí sa obracajú na zdieľania v sieti.

Po ukončení pohotovostného režimu zapnite žiadosť o prihlásenie a po ukončení nečinnosti automaticky odpojte relácie.

Ak používate fyzický server Windows, dôrazne vám odporúčame povoliť pri ukončení pohotovostného režimu výzvu na zadanie hesla používateľa. Môžete to urobiť na karte "Power" Ovládací panel (tabla úloh na stránke) „Vyberte si plán napájania“).

Okrem toho je vhodné zahrnúť žiadosť o zadanie používateľského hesla, keď sa pripájate k relácii po stanovenom čase nečinnosti. Týmto sa vylúči možnosť jednoduchého prihlásenia v mene používateľa v prípade, že používateľ napríklad zabudol zavrieť klienta RDP na osobnom počítači, na ktorom sú nastavenia zabezpečenia zriedka dosť trvalé. Na konfiguráciu tejto možnosti môžete použiť nástroj na nastavenie miestnych politík. secpol.mscvolal cez menu Spustiť (Win + R-> secpol.msc).

Použite Sprievodcu konfiguráciou zabezpečenia

Sprievodca konfiguráciou zabezpečenia (SCW) vám umožňuje vytvárať súbory XML pre bezpečnostné politiky, ktoré potom môžete preniesť na rôzne servery v rámci vašej infraštruktúry. Tieto zásady zahŕňajú pravidlá používania služby, konfiguráciu všeobecných systémových nastavení a pravidlá brány firewall.

Správne nakonfigurujte zásady zabezpečenia skupiny

Okrem prednastavenia skupinových politík služby Active Directory (ak sa používajú) ich z času na čas revidujte a prekonfigurujte. Tento nástroj je jedným z hlavných spôsobov zabezpečenia infraštruktúry Windows.

Kvôli pohodlnosti správy skupinových zásad môžete použiť nielen nástroj zabudovaný do distribúcií systému Windows Server «Gpmc.msc», ale ponúka ho aj obslužný program spoločnosti Microsoft „Zjednodušené nastavenie zabezpečenia“ (SCM-Security Compliance Manager), ktorého názov plne popisuje účel.

Používajte miestne bezpečnostné politiky

Okrem používania bezpečnostných politík skupiny Active Directory by sa mali používať aj miestne politiky, pretože ovplyvňujú nielen práva používateľov prihlásených prostredníctvom účtu domény, ale aj miestne účty. Na spravovanie miestnych politík môžete použiť príslušný modul snap-in. „Miestna bezpečnostná politika“povolaný príkazom secpol.msc (Spustiť (WIN + R)).

- Zmeňte štandardný port protokolu Remote Desktop Protocol

  • lis OK a zatvorte editor resstra
  • Venujte pozornosť svojim pravidlám. Firewall (Windows Firewall), Na vyššie uvedenom porte musia umožniť vonkajšie pripojenia. Ak chcete pridať pravidlo povolenia, postupujte takto:
    - otvorené Brána Windows Firewall
    - V ľavej časti okna programu vyberte položku „Rozšírené možnosti“a potom „Pravidlá pre prichádzajúce spojenia“a kliknite na Vytvoriť pravidlo

    - V zobrazenom okne sprievodcu vyberte pravidlo „Pre port“
    - Ďalej označte „Definovaný lokálny port TCP: <номер выбранного="" вами="" выше="" порта="">". Kliknite na tlačidlo Dokončiť.

  • > Ak chcete použiť zmeny, reštartujte server.
  • Ak sa chcete pripojiť k serveru pomocou manuálne nainštalovaného portu, musíte zadať číslo portu na lokálnom počítači po IP adrese servera a tieto hodnoty oddeliť dvojbodkou v okne na pripojenie k vzdialenej ploche, ako je to znázornené na obrázku:

    - Konfigurácia brány terminálových služieb

    kancelária „TS Gateway (Remote Desktop Services)“ umožňuje vzdialeným používateľom vzdialene sa pripájať k terminálovým serverom a iným počítačom v súkromnej sieti s povoleným protokolom RDP. Poskytuje bezpečné pripojenia pomocou protokolu. HTTPS (SSL), od administrátora odstránenia potreby konfigurácie VPN. Tento nástroj vám umožňuje komplexne riadiť prístup k počítačom, nastavovať pravidlá autorizácie a požiadavky pre vzdialených používateľov, konkrétne:

    • používatelia (skupiny používateľov), ktorí sa môžu pripojiť k interným sieťovým zdrojom,
    • sieťové prostriedky (počítačové skupiny), ku ktorým sa používatelia môžu pripojiť,
    • či by klientske počítače mali byť členmi skupín Active Directory,
    • Potrebujú zákazníci používať autentifikáciu pomocou čipovej karty alebo hesla, alebo môžu použiť niektorú z vyššie uvedených dvoch metód overovania.

    Logika brány vzdialenej pracovnej plochy samozrejme predpokladá použitie samostatného počítača. To však neznamená, že nemôžete používať virtuálny počítač nasadený na žiadnom z hostiteľov vašej súkromnej siete.

    Inštalácia služby TS Gateway

    Ak chcete nainštalovať bránu terminálových služieb na príslušné zariadenie so systémom Windows Server 2008/2012, postupujte takto:

    1. Otvorte obslužný program Správca servera -> karta Roly -> Pridať úlohu
    2. Na stránke výberu role servera vyberte položku Terminálové služby (služby vzdialenej pracovnej plochy)
    3. V okne výberu služieb rol vyberte položku Brána TS (brána služieb vzdialenej pracovnej plochy) a kliknite na tlačidlo OK ďalej
    4. Na stránke výberu certifikátu overenia servera pre šifrovanie SSL vyberte možnosť Vyberte certifikát pre šifrovanie SSL neskôr, Táto voľba je spôsobená skutočnosťou, že príslušný certifikát TS Gateway ešte nebol vygenerovaný.

  • Na stránke na vytvorenie politiky autorizácie brány vyberte túto možnosť neskôr
  • Služba musí byť označená na stránke výberu služieb rolí Server sieťových politík

    Nainštalujte požadované služby rolí, ktoré systém v predvolenom nastavení označí.

    Vytvorte certifikát pre službu Remote Desktop Services Gateway

    Ak chcete iniciovať pripojenia SSL od klientov RDP, musíte pre bránu vytvoriť vhodný certifikát:

    1. V ponuke podávanie vyberte snímku Správca služby IIS
    2. V ľavej časti zobrazeného okna vyberte požadovaný server a potom vyberte položku Certifikáty servera -> Vytvorenie certifikátu domény

  • Na stránke Definované vlastnosti názvu poskytnúť požadované informácie. Venujte pozornosť oblasti Bežný názov - musí zodpovedať názvu uvedenému v nastaveniach klientov služieb RDP.
  • Na ďalšej stránke Interaktívna certifikačná autorita vyberte meno Podnik cav mene ktorého by sa mal certifikát vydať, a zadajte hodnotu parametra Názov siete.
  • Teraz sa v okne Server Certificates zobrazia podrobnosti o vytvorenom certifikáte. Dvojitým kliknutím na tento certifikát sa zobrazia informácie o cieľovom mieste a prítomnosti súkromného kľúča pre tento certifikát (bez ktorého sa certifikát nepoužíva).

    Nakonfigurujte bránu TS na používanie certifikátu

    Po vytvorení certifikátu musíte nakonfigurovať koncovú bránu, aby ju mohla používať:

    1. Otvorte menu "Správa"vybrať „Terminálové služby (vzdialené počítače)“vybrať Brána terminálového servera.
    2. Vľavo vyberte server, ktorý bude fungovať ako brána. Zobrazia sa informácie o krokoch potrebných na dokončenie konfigurácie.

  • Vyberte možnosť „Zobraziť alebo zmeniť vlastnosti certifikátu“.
  • Na karte „SSL certifikát“ skontrolujte aktivitu možností „Vyberte existujúci certifikát na šifrovanie SSL“ a výberom možnosti Zobraziť certifikáty zobrazíte modul na inštaláciu certifikátov. Vyberte a nainštalujte predtým vygenerovaný certifikát.

    Po zadaní certifikátu by ste mali nakonfigurovať politiky autorizácie pripojenia a autorizácie prostriedkov. Pravidlá autorizácie pripojenia (CAP) umožňuje ovládať poverenia klientov, keď sa pripájajú k terminálom prostredníctvom brány:

    Otvorte menu Pravidlá autorizácie pripojenianachádza sa na karte „Zásady“ -> „Vytvoriť novú politiku“ -> Sprievodcana karte „Pravidlá autorizácie“ -> vybrať Vytvorte iba TS CAP, Zadajte názov vytvorenej politiky. V našom prípade „1cloud Gateway“, pútko "Požiadavky" aktivujte požiadavku na heslo a potom špecifikujte skupiny používateľov, ktorí potrebujú poskytnúť prístup k infraštruktúre terminálov - zadajte názov skupiny, ktorá sa má pridať, a kliknite na „Skontrolovať mená“.

    Povoliť presmerovanie zariadenia pre všetky klientske zariadenia. Pre niektoré typy zariadení môžete tiež zakázať presmerovanie. Na stránke Výsledky parametrov TS CAP skontrolujte predtým vybrané parametre a dokončite sprievodcu konfiguráciou.

    Teraz nakonfigurujte politiku autorizácie prostriedkov (Zásady autorizácie zdrojov - RAP)definovanie dostupných serverov a pracovných staníc pre externé pripojenie:
    Ak to chcete urobiť, prejdite do ponuky Zásady autorizácie zdrojov panel Správca brány terminálové servery (vzdialené počítače), vyberte Vytvoriť novú politiku -> Sprievodca -> Vytvoriť iba TS RAP.

    Zadajte názov politiky, ktorú chcete vytvoriť. Na karte Skupiny používateľov Vyberte skupiny, ktorých sa politika týka. pútko Počítačová skupina Zadajte servery a pracovné stanice, na ktoré sa uplatňuje politika RAP. V tomto príklade sme vybrali možnosť „Povoliť používateľom pripojenie k akémukoľvek prostriedku (počítač) v sieti“ povoliť pripojenia ku všetkým hostiteľom v sieti. Skontrolujte nastavenia TS RAP a dokončite sprievodcu konfiguráciou.

  • Na tomto základe možno konfiguráciu brány terminálových serverov (Remote Desktops) považovať za úplnú.
  • - Zabezpečenie relácií RDP pomocou SSL / TLS

    Na zabezpečenie bezpečnosti pripojení RDP, keď pripojenie k serveru nie je cez VPN, sa odporúča použiť Tunelovanie spojení SSL / TLS.

    Voľbu RDP cez TLS je možné povoliť prostredníctvom Zásady skupiny zabezpečenia vzdialenej pracovnej plochy (príkaz gpedit.msc alebo ponuka Správa -> „Komponenty Windows“ -> Server vzdialenej pracovnej plochy (relácia vzdialenej pracovnej plochy -> „Zabezpečenie“))kde musíte aktivovať možnosť žiadosti o určitú úroveň zabezpečenia pre vzdialené pripojenia (Vyžadovať použitie špecifickej bezpečnostnej vrstvy pre vzdialené pripojenia), Odporúčaná hodnota pre túto možnosť je Iba SSL (TLS 1.0).

    Túto možnosť tiež môžete povoliť pomocou ponuky Správa servera vzdialenej pracovnej plochy. (Konfigurácia hostiteľa relácie vzdialenej pracovnej plochy)výberom zo zoznamu pripojenie požadované pripojenie a jeho vlastnosti, kde si zvoliť úroveň bezpečnosti „Úroveň zabezpečenia“, Šifrovanie relácie TLS bude vyžadovať aspoň serverový certifikát. Spravidla je už v systéme (generuje sa automaticky).

    Ak chcete nakonfigurovať TLS tunelovanie pripojení RDP, otvorte nástroje „Správa konfigurácie hostiteľa relácie vzdialenej pracovnej plochy“ cez menu «Администрирование» -> Подключения к удаленным рабочим столам».

    Выберите в списке подключений то, для которого требуется настроить защиту SSL/TLS и откройте его свойства (Properties). Во вкладке «Общие» (General) выберите требуемый уровень шифрования (Encryption Level). Рекомендуем использовать RDP FIPS140-1 Encryption.

    Изолируйте серверные роли и отключайте неиспользуемые сервисы

    Jednou z hlavných úloh predbežného plánovania bezpečnosti serverovej infraštruktúry je diverzifikácia rizík porazenia kritických segmentov infraštruktúry počas úspešných útokov na jednotlivé uzly. Čím viac rolí preberá každý uzol, tým je objekt atraktívnejší pre útoky a tým závažnejšia môže byť porážka tohto uzla. Na minimalizáciu takýchto rizík je potrebné, po prvé, rozlišovať medzi kritickými úlohami servera vo fáze zavádzania infraštruktúry (ak je to možné) a po druhé, zakázať služby a úlohy na serveroch, ktoré nie sú naozaj potrebné.

    Jeden server by mal v ideálnom prípade vykonávať jednu konkrétnu funkciu (radič domény, súborový server, terminálový server atď.). Keďže však v praxi je takáto diverzifikácia úloh len zriedka možná v plnom rozsahu. Medzi funkciami stroja však môžete čo najviac rozlišovať.

    Na izoláciu rolí nie je potrebné používať dedikované servery pre každú konkrétnu úlohu. Virtuálne stroje môžete tiež použiť na časť rolí tak, že podľa potreby nakonfigurujete svoje bezpečnostné nastavenia. Virtualizačná technológia vám dnes umožňuje nezaznamenávať výrazné obmedzenia vo fungovaní virtuálnych hostiteľov a môže ponúknuť vysokú úroveň výkonu a stability. Dobre nakonfigurovaná virtuálna infraštruktúra môže byť úplnou alternatívou k nákladnému železu pre tých, ktorí chcú diverzifikovať riziká vážneho poškodenia.

    My, tím cloudovej služby 1cloud.ru, z našej strany neobmedzujeme nezávislé vytváranie virtuálnych počítačov klienta na virtuálnych serveroch prenajatých od nás. Ak chcete nainštalovať virtuálny počítač so systémom Windows na server, kontaktujte našu technickú podporu so žiadosťou o príslušnú možnosť.

    Prehľad jadra systému Windows Server

    Windows Server Core je distribúcia systému Windows Server 2008/2012 bez predinštalovaného grafického prostredia (UI). Táto distribúcia nevyužíva veľa systémových služieb potrebných na prevádzku grafického rozhrania, a preto je zbavená mnohých zraniteľností spojených s prevádzkou týchto služieb. Ďalšou výhodou systému Windows Server Core je minimálne zaťaženie hardvérových prostriedkov servera. Vďaka tomu je vynikajúcou voľbou pre inštaláciu na virtuálnych strojoch.

    Bohužiaľ pre server Core sú v súčasnosti podporované iba niektoré funkcie systému Windows Server, a preto tento systém ešte nemožno nazvať plnohodnotným. Možno sa v blízkej budúcnosti situácia zmení.

    Pozrite si video: AlfaPro - vzdialená správa počítača (August 2022).

    Pin
    Send
    Share
    Send
    Send