Как обеспечить долгую жизнь WInServ2008R2?

Question

[Алексей Артюшевский]

В общем есть в облаке сервер, на Windosw Server 2008 R2. Там просто настроены удаленные рабочие столы. Потом люди просто подключаются к своим учетным записям, открывают сои ярлыки 1С входят в нее и работаю. Главный вопрос как защитить сервер от атак из вне? И как его не угрохать?

Answer 1

[res2001]

Закрытый фаервол вам поможет (т.е. по умолчанию заблокировать все, открываете только то что нужно, а нужное ограничить минимально необходимым).
Для доступа к серверу используйте ВПН с авторизацией по сертификатам. Сами пользователи на сервере должны работать с ограниченными правами и не знать администраторский пароль. Если еще запретите пользователям ходить с сервера в интернет, мессенджеры и почту, то будет совсем хорошо.
Настройте RemoteApp, тогда пользователям не нужно будет заходить на рабочий стол сервера, а это еще более снизит шансы пользователю навредить системе.

Comments

[Алексей Артюшевский]

Как сложно. Мне понадобится время это переварить.

[res2001]

Алексей Артюшевский, Это обычная практика сетевого администрирования.

Answer 2

[hint000]

1. в вашем облаке есть возможности нагородить firewall за пределами этого виндового сервера? Если есть, то надо городить. Если нет, то придётся обойтись штатным виндовым firewall'ом.

2. Пуск - Администрирование - Службы удалённых рабочих столов - Конфигурация узла сеансов удалённых рабочих столов - RDP-Tcp - Свойства - Общие - проверить крыжик "Разрешить... с проверкой подлинности на уровне сети". Должен стоять этот крыжик, без него быстрее ломается. (но зато без него
можно заходить с Windows XP).

3. Обновления.

Comments

[Алексей Артюшевский]

Не нельзя городить за пределами ниче. Что это за крыжЫк такой?

[Алексей Артюшевский]

hint000, Не я понимаю что я его найду. Мне бы понять что он делает что меня ждет после его нажатия. Я понимаю что я мог бы и сам прогуглить. И просто по названию догадаться. Я просто думаю что у вас получится объяснить просто и быстро. И без особых проблем.

[hint000]

Алексей Артюшевский, с этим крыжиком делается аутентификация на другом уровне, чем без него. Если вас пытаются взломать брутфорсом (т.е. путём тупого перебора паролей, пока не угадают), то такая атака многократно замедляется. Грубо говоря, если пароль не очень сложный, его могли бы угадать за месяц перебора, а теперь тот же самый пароль угадают за 10 лет. Но Windows XP не умеет этот метод, поэтому если остался хоть один клиент на XP, то придётся жертвовать безопасностью.

Answer 3

[АртемЪ]

Стандартно-
Настройка файервола - запретите трафик по всем портам кроме RDP.
Исходящий разрешите только нужным приложениям.
Пользователи с ограниченными учетными записями.
Политика ограниченного использования программ.

как защитить сервер от атак из вне?

Каких атак вы опасаетесь?

И как его не угрохать?

Смысл вопроса непонятен.

Comments

[Алексей Артюшевский]

Я медуза.

Answer 4

[Владимир Кивва]

Вот статья https://habr.com/ru/company/pc-administrator/blog/...
SRP в первую очередь. Обновления. RDP Guard или аналоги. Бэкапы. Настройке фаервол, а ещё лучше, поставьте перед виндой роутер вроде микротика. Опять же, если есть возможность - ходите через туннель.

Answer 5

[Keffer]

Windows подключенный к интернету и с висящим на его интерфейсе сетевом белом ip адресе уже сам по себе одна огромная дырка. Так что когда его взломают - лишь вопрос времени. А взломают однозначно.

Comments

[Константин]

Интересно, как?
Если ненужные порты закрыты, юзера с ограниченными правами, стоят все апдейты и пароли сложные для перебора.

[Алексей Артюшевский]

Константин, Ты знаешь я бы не был так уверен.

[Константин]

Алексей Артюшевский, а я и не уверен, но многолетний опыт работы с такими серверами показывает, что фактически никто и не взламывает. А спросил, поскольку в самом деле интересно, как это может быть осуществимо, чтобы понимать, что еще нужно закрыть.

[Keffer]

Не переживайте, у мелкомягких много еще не открытых хакерами дыр и простор для деятельности огромный. Все зависит от того, что крутится на этом сервере и насколько это важно для потенциальных взломщиков. Ну и от вашей дальновидности, страшно ли вам будет и убыточно ли, если данные украдут\сотрут. Если уж ломают крупные сервера на Linux специально защищенные, то о чем вообще речь в случае в по определению дырявой виндой, хоть и серверной версией?

[hint000]

Алексей Артюшевский,
довольно приличная защита будет, если настроить в firewall'е доступ по белому списку адресов. Проще всего, если все юзеры подключаются из одного или нескольких офисов со статическими внешними адресами.

Если же требуются подключения с домашних компов, да ещё и на динамических адресах, тогда придётся повозиться, добавляя в правила может быть несколько десятков подсетей провайдеров города. Но оно того стоит. Даже если будут беспокоить кулхацкеры, то они будут из родного города, это будет редко, их можно будет заметить по логам и потенциально можно пожаловаться провайдеру (позвонить, написать заявление): "меня брутфорсит ваш абонент с ip такого-то, примите меры".
Взаимодействие между админом и юзерами будет выглядеть так: сначала раз в неделю, затем раз в месяц, а затем лишь раз в год (по мере уточнения белого списка) будет звонить кто-то из юзеров: "не могу из дома зайти по RDP". Стало быть динамический адрес у юзера поменялся. Сразу смотрим в логах firewall'а, с какого адреса за последние несколько минут были запрещенные попытки подключиться, пробиваем через whois этот адрес, чтобы определить подсеть, и добавляем эту подсеть в белый список. Говорим юзеру попробовать еще раз.

[Keffer]

hint000, Да, это самое правильное решение не только для данного случая но и вообще рекомендуется применять белые списки где это возможно.

[Алексей Артюшевский]

hint000, блэт, я медуза. Очень хорошо говорите. Но мне надо по порядку. Я не знаю как это делать в фаерволе, к примеру.

[Keffer]

Алексей Артюшевский, Тогда зачем вообще ты пришел? Задаешь бессмысленные вопросы и получаешь столь же непонятные ответы. Азам настройки фаервола учиться надо не здесь. И никто тут тебе по порядку не распишет по буквам нажми туда тыкни сюда и будет счастье. Ошибся ресурсом ты. Найми сисадмина знающего, он придет настроит все что нужно и покончим с этим.

[Алексей Артюшевский]

Keffer, Логично. Хорошо. Инфы достаточно инете. Разберусь! Спасибо. Да и гемор это с добавлением айпи и т.д. И вообще я так понял что у меня большая дыра в знаниях которую нужно заполнить. Как например посмотреть кто коннектился к этому серверу и т.д.

[hint000]

Алексей Артюшевский, подробно не расскажу, т.к. я не любитель виндового файервола (то ли дело iptables - там в разы больше возможностей), но направление подскажу. В офисе статический ip-адрес?
В самое начало добавляете правило "разрешить входящие из офиса".
Из дома приходится подключаться? Смотрите домашний адрес, добавляете правило "разрешить входящие из дома".
В самый конец добавляете правило "запретить все входящие".
Правила обрабатываются по порядку. Если сработало первое правило, то уже не важно, что в остальных правилах, разрешение уже получено. Поэтому в конце - "мы не знаем, кто вы, идите нафиг", т.е. запрет всем остальным. Такая схема и называется "белый список". В белом списке явно указаны все, кому можно. Противоположная схема - "чёрный список" - когда явно указывается, кому запретить доступ, а всех остальных пропускаем.
Если столкнулись с тем, что где-то адрес динамический, то делаем так. Смотрим, какой адрес на данный момент. Пробиваем этот адрес по whois, ищем там подсеть. В белый список добавляем не конкретный адрес, а всю подсеть.