Как настроить подключение по RDP?

Question

[Pavel Valeo]

Коллеги, необходимо настроить доступ к локалке по RDP. Валит такую ошибку. Что может быть?


Собственно, что делал уже для этого:
- включил RDP на компе в Удаленный рабочий стол
- добавил доменного юзера DOMAIN\user1 в разрешенные на этот комп (комп тоже в домене)
- добавил (на всякий случай) юзеру DOMAIN\user1 в домене права "Пользователь удаленного рабочего стола"
- установил автоматический запуск службы на компе, запускал/перезапускал все зависящие от этого службы
- добавил в брандмауэр порт 3389 (разрешение, хотя это итак там было)
- подключался из домена, извне домена - результат один
- подумал может не работает доменная учетка, попробовал под админом домена, под локальным админом - то же самое

Подскажите куда копать еще можно)

Comments

[Pavel Valeo]

Логи подключения тоже вроде ничего критичного не валят

Грешу на кривую винду у юзера, но может быть все-таки проблема проще?

Answer 1

[hint000]

Отказано в доступе
OK

Какой интересный и информативный скриншот.
Это чё, NLA не включено в настройках удалённого доступа на ПК? Хотя бы наружу не собираетесь выставлять доступ в таком виде?
На стандартном 3389\tcp, да с выключенной NLA, да без фильтрации брандмауэром за'DoS'ивается этот сервис за считанные минуты.

Логи подключения тоже вроде ничего критичного не валят

Не тот лог. У вас отказ в доступе - смотрите лог "Безопасность".

Подскажите куда копать еще можно

Локальная политика безопасности - Локальные политики - Назначение прав пользователя - Доступ к компьютеру из сети
и там же... - Отказать в доступе к этому компьютеру из сети

Comments

[Pavel Valeo]

хотя бы наружу не собираетесь выставлять доступ в таком виде?

Напрямую наружу нет, но собираюсь открыть доступ через тоннель OpenVPN по RDP в локалке. На маршрутизаторе порт 3389 закрыт.

На стандартном 3389\tcp

Да он и на нестандартном порту детектится довольно быстро через nmap

с выключенной NLA

Почему с выключенной? NLA включен

На данный момент просто пытаюсь настроить доступ)

[Ziptar]

Pavel Valeo,

Почему с выключенной? NLA включен

Ну, в первом приближании скрин выглядит так, будто отказ рисуется на экране ввода логина и пароля внутри рдп подключения, а вход в сеанс пользователя через этот экран, а не через ввод учетных данных на рдп клиенте, означает, что nla выключен или не работает по какой-то причине.
С другой стороны, если nla все таки работает, и учетные данные вводятся на рдп клиенте, это может означать, что отказ происходит не для создания сеанса и входа пользователя в систему, а где-то еще. Но это надо логи аудита безопасности внимательно штудировать.

Answer 2

[Сергей Таразанов]

Здравствуйте. Ваша проблема с доступом, скорее всего, в локальных политиках безопасности (secpol.msc). Проверьте правило “Отказать в доступе к этому компьютеру из сети” — там не должно быть вашего пользователя.

Но, пожалуйста, не выставляйте RDP напрямую в интернет — это крайне опасно.

Я написал подробную, пошаговую инструкцию, как настроить правильный и безопасный доступ через VPN-шлюз. Она лежит здесь:
https://gist.github.com/Tazoranov/6c75064c51116574...

Comments

[Pavel Valeo]

Спасибо, отличная инструкция!

[DMITRIJS DROBISEVSKIS]

Но, пожалуйста, не выставляйте RDP напрямую в интернет — это крайне опасно.

Мне кажется при правильном логине/пароле RDP не опаснее SSH, телнета или любого другого сервиса. Во всяком случае, лет 15 использую RDP для удаленной работы из разных мест, без какого то ущерба для безопасности. Если это не так, просьба пояснить.

[Сергей Таразанов]

DMITRIJS DROBISEVSKIS, Дмитрий, здравствуйте. Это очень хороший и важный вопрос. Вы правы, что сильный пароль — это основа безопасности любого сервиса.
Однако, ключевая разница в подходе — это минимизация "поверхности атаки". Оставляя RDP-порт открытым всему интернету, мы позволяем миллионам автоматических сканеров и потенциальным злоумышленникам "прощупывать" ваш сервер 24/7.
Вот три основные опасности, которые не решает даже самый сложный пароль:
1. Уязвимости самого протокола RDP. История знает критические уязвимости (вроде BlueKeep), которые позволяли выполнить код удаленно еще до ввода пароля. VPN-шлюз полностью скрывает RDP-порт от внешнего мира, делая такие атаки в принципе невозможными.
2. Бесконечный Brute-force. Ваш сервер будет постоянно находиться под градом попыток подбора пароля. Это не только нагружает систему, но и может приводить к блокировке легитимных учетных записей из-за политики безопасности.
3. Риск компрометации пароля. Даже сложный пароль может быть скомпрометирован на другом сервисе (утечки данных происходят постоянно) и использован для атаки на ваш сервер. VPN добавляет второй, независимый рубеж обороны, что является элементом многофакторной аутентификации.
Поэтому, хотя ваш 15-летний опыт говорит о том, что вам везло, современный подход к безопасности "defense in depth" рекомендует никогда не выставлять службы управления напрямую в интернет.

Answer 3

[Михаил Лялин]

! порт по умолчанию и сразу в домен = 100% дыра в безопасности
? конечная цель удалённого доступа какая - обычно идут через RemoteApp, vpn, etc

Comments

[Ziptar]

! порт по умолчанию и сразу в домен = 100% дыра в безопасности

Дык может он в впн заворачивает, тут же не обозначено никак

? конечная цель удалённого доступа какая - обычно идут через RemoteApp, vpn, etc

Vnc через запятую с remoteapp выглядит странно, потому что последний это буквально rdp, только с прорисовкой окна отдельного приложения, а не всего рабочего стола

[Pavel Valeo]

Открывать RDP через маршрутизатор это как минимум не секьюрно и в целом треш, поэтому шифрованный OpenVPN с доступом к сети и далее только из локалки.

За ссылку отдельное спасибо!

[pfg21]

создавать виртуальную сеть ради одного порта :)
есть вариант попроще проброс порта через ssh
к примеру вот так, с отправкой ssh в фон https://warlord0blog.wordpress.com/2020/02/04/tunn...