Полностью ли безопасен Windows Server 2008 R2 от угроз в локальной сети?

Question

[Евгений Воробьев]

Добрый день.
В корпоративной сети работает терминальный сервер на WIndows Server 2008 R2.
Доступ к нему получают через OpenVPN, то есть в интернет он не смотрит никак.
Недавно поднимался вопрос о безопасности этого терминального сервера на уровне доступа с клиентский компов.
Суть вопрос в том, что гипотетически на клиентском компе (личном ноутбуке допустим), который подключается по OpenVPN к корпоративной сети, может находится вредоносное ПО, которое может попытаться "ломануть" каким то образом протокол RDP или другие сервисы на этой виндовой машине. Как можно грамотно организовать защиту этой тачки (особенно учитывая что она работает на старенькой версии винды) от угроз с общедоступной VPN сети (все таки в ней работают личные компьютеры пользователей, на которых может стоять все что угодно). Как можно обезопасить подключение с них к RDP протоколу, чтобы пропускалось только правильное и нужное, а подозрительное отбрасывалось? Есть ли какие нибудь анализаторы трафика в реальном времени?

Comments

[Akina]

Поддержка этого продукта прекращена. Так что грамотная организация защиты начинается с обновления версии ОС до актуальной.

[none7]

Google: CVE windows server 2008 rdp
Есть не закрытая дыра в самой службе RDP, так, что от червя её не спасти никак.

[Рамис]

Как можно грамотно организовать защиту этой тачки (особенно учитывая что она работает на старенькой версии винды)

В такой ситуации не как, возможно в нем уже сидит какой ни будь dharma и ждем своего великого дня.
Как вариант обслужить компьютеры пользователей, установить антивиры от всяких шифровальщиков.

Answer 1

[Рональд Макдональд]

Установите все возможные обновления от MS, установите (настройте) фурриволл и а/в и не парьтесь.

Comments

[Евгений Воробьев]

какой АВ посоветуете для Server 2008?

Answer 2

[Alexey Dmitriev]

Windows Server 2008 R2 уже априори не безопасен, если у вас нет расширенной подписки на получение обновлений.
Правильный вариант - обновление ОС.
Единственное, что можно посоветовать как колхоз - поднять RDP Gateway на Windows Server 2016\2019 и открыть доступ к терминальному серверу только через Gateway, запретив все остальное файрволом.
Все остальные варианты будут стоить дороже лицензии на обновление ОС.

Comments

[Евгений Воробьев]

ну 2016/2019 будет наверное денег стоить немалых... даже для этой одной роли, как я понимаю.

[hint000]

Евгений Воробьев,

Есть ли какие нибудь анализаторы трафика в реальном времени?

Есть, но оно как раз стоит на порядок (а может быть и на два порядка) дороже свежей серверной винды. Плюс ещё зарплата специалиста, который знает, как эта система работает. Такое встречается в крупных корпорациях.

[Дядька Серёжа]

Согласно сайту ms Поддержка расширенная еще в том году кончилась

[Alexey Dmitriev]

Дядька Серёжа, вы путаете обычную и расширенную (платную по подписке).
https://docs.microsoft.com/ru-ru/lifecycle/faq/ext...

[Дядька Серёжа]

Alexey Dmitriev, ага увидел:
Выпуск-------------------------------Дата начала----Дата окончания
Расширенное обновление безопасности год 3---11/01/2022---10/01/2023
Расширенное обновление безопасности год 2---12/01/2021---11/01/2022
Расширенное обновление безопасности год 1---14/01/2020---12/01/2021

[Евгений Воробьев]

hint000, примеры есть? Можете подсказать для общего понимания ситуации?

[Alexey Dmitriev]

Евгений Воробьев, гуглите "Zero Trust Network Access".
У fortinet например есть продукты.

[hint000]

Евгений Воробьев, https://habr.com/ru/post/172389/ цитата:

можно примерно очертить круг тех, кому, возможно, внедрение SIEM актуально:

• Должна быть большая/географически разветвленная инфраструктура. Насколько большая? Ну, наверное, это не 100 машин :) Как минимум, 1000-1300.
  
• Должны быть системы ИБ — начиная от антивирусов и кончая DLP, IDS, IDM и т.д. Чем больше таких систем — тем лучше. На мой взгляд, в организации, которая собирается внедрять SIEM, DLP должна уже быть.
  
• Наличие устройств, которые требуют мониторинга...
  
• Должны быть деньги!!! И понимание того, что SIEM не окупится за полгода.
  

[Евгений Воробьев]

hint000, ну это все уровень очень больших и богатых компаний. Я не спорю, что мы на уровне бичей и вопрос состоит в том, чтобы сделать что-то вроде анализа пакетов в реальном времени по шаблону типа "штатное подключение пользователя к RDP", когда все что "левое" будет отбрасываться и блокироваться.
Подобное вообще как то реально? Или все это будет на уровне того, что указано в присланой Вами статье?

[hint000]

Если хоть какой-то бюджет на эту задачу выделяется, то первое, на что следует "накопить" - это именно свежая серверная ОС. Всё остальное позже. Ну там серверный Касперский и т.д. Если в этом году не накопите на ОС, то в следующем уже можно сразу копить на WinServer 2022 (обещают) вместо 2019. :)

А если совсем нисколько не выделяется, тогда мы с вами товарищи по несчастью. Вопрос "как поднять ИБ бесплатно" слегка риторический. Ну вот firewall я настроил (на шлюзе, не на винде) настолько хорошо, насколько смог. Это бесплатно, а вернее за мою зарплату. А дальше... Если руководство не выделяет деньги элементарно на антивирусник, то о чём говорить? Вы правильно ставите вопрос, компьютеры пользователей (да и сами пользователи) - слабое звено.

[Евгений Воробьев]

hint000, понимаю. Но 2019 сервер с лицензиями на RDP выходит дофига. Вы не рассматривали ничего кроме этого? Если, допустим, замену ОС считаем невозможной. Какие еще варианты есть?
Не подскажете какие настройки сделали на файрволле касательно защиты RDP?

[hint000]

Евгений Воробьев, как сказал кто-то из древних, "если не можешь изменить ситуацию, измени своё отношение к ней".
Надо помнить, что сервер в любой момент может подвергнуться атаке. Надо быть готовым восстановить работоспособность сервера и восстановить данные. В кратчайшие сроки. Для этого нужна система резервного копирования на отдельном хосте. Быстрое хранилище. Быстрая сеть. Заранее продуманные и записанные регламенты DR (disaster recovery). Вы знаете, что в такой-то ситуации восстановление займёт 5 минут или 5 часов, не принципиально, вы знаете это время и можете сказать: "Нас взломали, но... Всё идёт по плану!".

Answer 3

[АртемЪ]

В локальной достаточно безопасен.
Все что нужно это отключение неиспользуемых и устаревших сервисов вроде старых версий SMB, и настройка фаервола.
В фаерволе заблокировать все чем не пользуетесь.
А доступ по RDP ограничить пулом локальных адресов.

Comments

[Дядька Серёжа]

Да там много чего устарело, служба факсов, RPC…

Answer 4

[Дядька Серёжа]

Из прочитанного:
Это лишь время когда вредонос или инсайдер про эксплуатирует одну из уязвимостей за 2020-2021 годы
Атака может быть как с соседнего сервера (DC, например, раз у вас терминальник старый, то из DC аналогично)
А это случится, у вас же и ПК личные используются.
OpenVPN тоже поди по клбчику который хранится в операционке, а значит его могут спереть и злоумышленник вообще со своей kali linux подключится.

Как можно обезопасить подключение с них к RDP протоколу, чтобы пропускалось только правильное и нужное, а подозрительное отбрасывалось?
Отказаться от личных домашних устройств либо внедрять MDM, но тоже видимо не ваш вариант по деньгам, правильно конечно концепцию Zero trust.
Двухфакторка + одноразовый пароль не через SMS.
EDR на каждом устройстве и в том числе на терминальникн с правилами блокировки устройства если риск превышен. Вывод терминальника из домена. Перенос его в сегмент где нет других серверов. Настройка согласно бэйслайну от MS и еще сильнее отключив ненужное на нем. Минимазиция доступов с сервера куда-то в сеть, например, не давать с него доступа к персональным данным (читай 152-ФЗ и подзаконные акты) и иной информации ваших клиентов. Сбор логов с него на другое устройство и анализ событий безопасности в логах.

Comments

[Дядька Серёжа]

Ну и сервер в DMZ, я надеюсь вы понимаете что это не локальная сеть, локалка это ваши кабинеты. Серверная сеть обычно в серверной. Ну и внешних пользователей подключенных по VPN считать их локальной сетью это такое себе. Обычно такие пользователи считаются потенциально взломанными. По правильному и все пользователи в офисе имеющие возможность серфить в интернете и получать почту, так же считаются потенциально скомпрометированными.

Answer 5

[Diman89]

Давно придумали СЗИотНСД

Answer 6

[Евгений Воробьев]

А есть ли какие нибудь анализаторы трафика в реальном времени, которые смогу отличить "правильное" подключение пользователя к RDP от какой-нибудь атаки на тот же RDP или другой сервис? И по этим пакетам выявить "нарушителя" и а заблокировать его?

Answer 7

[Станислав Бодро́в]

Полностью ли безопасен Windows Server 2008 R2 от угроз в локальной сети?

Лучше престраховаться и отключить вообще от сети.

Comments

[Евгений Воробьев]

Ответ уровня рофла) Вы же прекрасно понимаете, что говорите очевидно-смешные вещи, которые не являются ответом на мой вопрос?