Как защититься от взлома RDP?

Question

[Георгий Пугачев]

Здравствуйте, на мой сервер с Windows Server 2012 сейчас пытаются вломиться через RDP, постоянно идут попытки авторизации с разных аккаунтов (даже не существующих), аккаунты чередуются. Поставил настройку блокировки аккаунта через 3 неудачных входа, но она не срабатывает, как можно предотвратить взлом?

Comments

[Juhani Lahtinen]

Меняйте порты.
Если микротик, пишите скрипт, 10 подключений за минуту, бан на 10 минут.

[Dmitry]

пару копеек, в винде можно добавить событие по журналу, а это значит- можно написать скрипт, который будет считать неудачные попытки, и добавлять IP адрес пользователя в запрет виндового фаервола, как вариант.

[Олег]

Что значит не срабатывает блокировка аккаунта? Попытки авторизации происходят в существующие аккаунты?
И, что-то из вопроса не понял - попытки идут из локальной сети или интернета?

[Георгий Пугачев]

Попытки из интернета, блокировка не происходит, т.к. каждый раз чередуется имя пользователя, например:
LENA, ADMINISTRATOR, AMDREI, ADMINISTRATOR, USER2, ADMINISTRATOR
Попытки идут на админа и случайные не существующие имена юзеров.

[Георгий Пугачев]

Как узнать IP с которого атака идёт?

[Juhani Lahtinen]

gvpugachev, https://docs.microsoft.com/ru-ru/windows/security/...

[Георгий Пугачев]

Поменял внешний порт для rdp, входы в систему прекратились.
Вопрос: какова вероятность, что атакующий будет перебирать все порты пока опять не найдёт порт для rdp?

[WayMax]

gvpugachev, 50 на 50. или будет или нет

[Juhani Lahtinen]

gvpugachev, Если вот им надо к вам, будут сканировать все порты, в различных режимах пока не найдут. Если это просто китайцы, перебирают rdp порты, то 100% что им будет на вас плевать.

[Георгий Пугачев]

Включил аудит входа в систему и аудит управления учетными записями, вернул обратно порт, запросы на вход опять пошли, но его ip не пишется)) Ищу прогу через которую можно его ip узнать)

[Георгий Пугачев]

Благодарю всех за помощь)
Вернул обратно порт что был, поставил софт Cyberarms security, он мне показал с каких ip атаки идут, их оказалось 6 штук (на данный момент), этот софт имеет автобан, он их и побанил)) Сервера из разных стран, каких-то зависимостей не нашел.

[devalone]

Ответ "не использовать это решето" не подходит?

[Георгий Пугачев]

Подходит, но мне нужно сначала провести предварительную работу, чтобы всех юзеров перевести на что-то вроде TeamViewer)

Answer 1

[Рональд Макдональд]

Самое первое - смените порт RDP (пробросьте на роутере на стандартный).
Это спасёт, но частично и не ото всех.

Второе - выставляйте блокировки через 2 неправильные попытки входа. Они должны срабатывать.

Третье - постарайтесь выставить допустимые диапазоны IP, с которых можно подключаться, если это возможно.

Четвёртое - выставьте пользователям нормальные длинные пароли.

Пятое - заблокируйте на роутере в файрволле диапазоны IP-адресов сканеров, они точно есть в открытом доступе. Опять же, спасёт не ото всех.

Если все пункты выполнены, то активность сканеров упадёт процентов на 80, а на остальных можно положить болт, это нормально.

Comments

[Константин Фролов]

Опять же, убрать всяких Администратор, buh,glavbuh и т.д.

[DVoropaev]

объясните, что это за

диапазоны IP-адресов сканеров

[Рональд Макдональд]

DVoropaev, обычно сканируют с одних и тех же адресов и подсетей. Вот их и баним.

[arkitekt]

Рональд Макдональд, Заинтересовало, он не нашел. Искал в Гугле. Если есть возможность дайте пожалуйста ссылку на ресурсы с такими списками.
Спасибо.

[Рональд Макдональд]

arkitekt, да это как-то по опыту :)

[arkitekt]

Рональд Макдональд,

Пятое - заблокируйте на роутере в файрволле диапазоны IP-адресов сканеров, они точно есть в открытом доступе. Опять же, спасёт не ото всех.

получается что по факту списков нету. Может тогда своими поделитесь?

[Рональд Макдональд]

arkitekt, а, так вам списки нужны?
Не помню, я их с Гитхаба стягивал и в файрвол загонял. Если найду ссылку - кину.

Answer 2

[effko32]

В дополнение ко всему вышесказанному есть программа RDPDefender (аналог fail2ban)

Answer 3

[Олег]

Сервер смотрит напрямую в интернет или через маршрутизатор?
Если маршрутизатор на Linux, то fail2ban например настроить и поставить.

Comments

[Георгий Пугачев]

Через роутер tp-link, думаю можно заблочить по ip, осталось узнать ip взломщика.

[Juhani Lahtinen]

gvpugachev, Да же не надейтесь, IP меняются и проблем с этим нет.
У Вас может быть каждая новая попытка с нового IP.

[fpir]

nukler, ну не прям каждая, fail2ban реально отбивает, минут через 10 попытки прекращаются и с этого диапазона больше не происходят.

Answer 4

[Богдан Королев]

Самое первое, что нужно сделать, если ваш сервер не за NAT - сменить порт, это обязательно! Если за NAT, то просто проброс с другим портом, отличным от стандартного - мне помагает

Comments

[Максим Ярошевич]

Я тоже так думал, пока шифровальщик не пришел. НИКАКИХ перенаправленных портов, открытых снаружи, ТОЛЬКО VPN. Естественно, нормальные пароли и политика блокировок.

[АртемЪ]

Максим Ярошевич, При чем тут шифровальщик?
И чем тут поможет VPN?

НИКАКИХ перенаправленных портов, открытых снаружи

Ну в этом случае никто подключиться по RDP не сможет, только и всего.

[Максим Ярошевич]

АртемЪ, Шифровальщик как раз прошел через перенаправленный порт. VPN при том, что это защищенный канал, как раз для этого случая. Все отлично подключается и работает, без VPN никаких подключений снаружи.

Answer 5

[АртемЪ]

Как защититься от взлома RDP?

Как правило в большинстве случаев достаточно стандартных мер - отключите старые протоколы, запретите входить админом (или ограничьте админа по адресу), используйте несловарные пароли длиной не менее 8 символов.
В большинстве случаев большего и не надо.
То что сканируют и пытаются подключиться - это нормально и опасности в этом нет.
Если сильно напрягает - можете поменять порт на нестандратный. Безопасность это не повысит, но сканировать чуть меньше будут.

поставил настройку блокировки аккаунта через 3 неудачных входа, но она не срабатывает

Значит не включили, проверьте еще раз.
А вообще не рекомендую этим пользоваться - неприятно когда пользователь пытается подключиться, а его учетка заблокирована. А если пользуетесь ставьте блокировку не больше минуты.

Comments

[arkitekt]

В своей организации (много удаленщиков) сделали нетиповые логины (сложно подбираемые, но при этом интуитивно понятные внутренним пользователям). Помогло

Answer 6

[VanSun]

Работаю в тп фирм, скажу так, сейчас уже не спасает блокировка через пару вводов и смена порта, взломали у нас пару серверов. При чем небыло постоянной долбежки, просто вечером все хорошо, а утром все зашифрованно. Мой совет это ставить хороший роутер на входе(хотя бы микротик) там впн, инастраивать его всем, кому нужно. Простая смена порта уже не помогает.

Comments

[sirota]

Значит ночью было все плохо. А вообще сталкивался с timebomb. Т.е. Зловред уже в системе и приличное время. Я поступил проще. Anydesk и только с него запуск rdp. Да окно в окне, но... Зато секурно. У знакомого через vpn сделано с авторизацией серт+логинпасс. Тоже норм выход.

Answer 7

[Network173]

Прячь за vpn.

Answer 8

[Максим Ярошевич]

Доступ снаружи ТОЛЬКО через VPN, как это реализовать - надо смотреть на месте. НИКАКИХ пробросов портов - это не помогает, поймали шифровальщика через перенаправленный порт в конце декабря. В политиках настроить блокировку учетных записей после нескольких попыток неправильного ввода пароля - у меня после 6 попыток на 30 минут - настраивается за несколько минут, проверено - работает, ну и пароли желательно посложнее.
Выделение адресов, с которых можно подключаться - не вариант, появятся удаленные сотрудники - а они могут подключаться с любого адреса.

Answer 9

[AndrewHodyrev]

Если заморочиться то микротик с порт нокингом и приманкой. Настраивали батник который спера пингует нужный размер пакета, а затем запускает клиента RDP. И все вышесказанное.

Вот хороший материал для микротика
https://habr.com/ru/post/499146/