@gvpugachev
Разработчик Delphi, Go, FrontEnd

Как защититься от взлома RDP?

Здравствуйте, на мой сервер с Windows Server 2012 сейчас пытаются вломиться через RDP, постоянно идут попытки авторизации с разных аккаунтов (даже не существующих), аккаунты чередуются. Поставил настройку блокировки аккаунта через 3 неудачных входа, но она не срабатывает, как можно предотвратить взлом?
  • Вопрос задан
  • 10961 просмотр
Решения вопроса 1
Zoominger
@Zoominger
System Integrator
Самое первое - смените порт RDP (пробросьте на роутере на стандартный).
Это спасёт, но частично и не ото всех.

Второе - выставляйте блокировки через 2 неправильные попытки входа. Они должны срабатывать.

Третье - постарайтесь выставить допустимые диапазоны IP, с которых можно подключаться, если это возможно.

Четвёртое - выставьте пользователям нормальные длинные пароли.

Пятое - заблокируйте на роутере в файрволле диапазоны IP-адресов сканеров, они точно есть в открытом доступе. Опять же, спасёт не ото всех.

Если все пункты выполнены, то активность сканеров упадёт процентов на 80, а на остальных можно положить болт, это нормально.
Ответ написан
Пригласить эксперта
Ответы на вопрос 8
effko32
@effko32
В дополнение ко всему вышесказанному есть программа RDPDefender (аналог fail2ban)
Ответ написан
Комментировать
@efcadu
Системный администратор
Сервер смотрит напрямую в интернет или через маршрутизатор?
Если маршрутизатор на Linux, то fail2ban например настроить и поставить.
Ответ написан
Самое первое, что нужно сделать, если ваш сервер не за NAT - сменить порт, это обязательно! Если за NAT, то просто проброс с другим портом, отличным от стандартного - мне помагает
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Как защититься от взлома RDP?
Как правило в большинстве случаев достаточно стандартных мер - отключите старые протоколы, запретите входить админом (или ограничьте админа по адресу), используйте несловарные пароли длиной не менее 8 символов.
В большинстве случаев большего и не надо.
То что сканируют и пытаются подключиться - это нормально и опасности в этом нет.
Если сильно напрягает - можете поменять порт на нестандратный. Безопасность это не повысит, но сканировать чуть меньше будут.

поставил настройку блокировки аккаунта через 3 неудачных входа, но она не срабатывает
Значит не включили, проверьте еще раз.
А вообще не рекомендую этим пользоваться - неприятно когда пользователь пытается подключиться, а его учетка заблокирована. А если пользуетесь ставьте блокировку не больше минуты.
Ответ написан
@VanSun
Работаю в тп фирм, скажу так, сейчас уже не спасает блокировка через пару вводов и смена порта, взломали у нас пару серверов. При чем небыло постоянной долбежки, просто вечером все хорошо, а утром все зашифрованно. Мой совет это ставить хороший роутер на входе(хотя бы микротик) там впн, инастраивать его всем, кому нужно. Простая смена порта уже не помогает.
Ответ написан
@Network173
Прячь за vpn.
Ответ написан
Комментировать
YMax
@YMax
Системный администратор
Доступ снаружи ТОЛЬКО через VPN, как это реализовать - надо смотреть на месте. НИКАКИХ пробросов портов - это не помогает, поймали шифровальщика через перенаправленный порт в конце декабря. В политиках настроить блокировку учетных записей после нескольких попыток неправильного ввода пароля - у меня после 6 попыток на 30 минут - настраивается за несколько минут, проверено - работает, ну и пароли желательно посложнее.
Выделение адресов, с которых можно подключаться - не вариант, появятся удаленные сотрудники - а они могут подключаться с любого адреса.
Ответ написан
Комментировать
@AndrewHodyrev
Если заморочиться то микротик с порт нокингом и приманкой. Настраивали батник который спера пингует нужный размер пакета, а затем запускает клиента RDP. И все вышесказанное.

Вот хороший материал для микротика
https://habr.com/ru/post/499146/
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы