• Настройка безопасного rdp доступа к рабочей машине?

    kirion
    @kirion
    Николай, я так понял, что, как вы говорите, «наружу» у вас открыт RDP на ваш сервер terra.mulder.kiev.ua? Могу и ошибаться, много времени не тратил, но…

    nmap -sS terra.mulder.kiev.ua
    Starting Nmap 6.00 ( nmap.org ) at 2013-05-31 03:06 MSK
    Nmap scan report for terra.mulder.kiev.ua (82.144.210.53)
    Host is up (0.036s latency).
    Not shown: 994 closed ports
    PORT STATE SERVICE
    85/tcp filtered mit-ml-dev
    135/tcp filtered msrpc
    139/tcp filtered netbios-ssn
    445/tcp filtered microsoft-ds
    593/tcp filtered http-rpc-epmap
    3389/tcp filtered ms-wbt-server

    Вы-то правильно приняли меры, чтобы наружу всем не торчало — фильтруете.
    У вас даже web-сервер на 85-ом порту не всем доступен. Так все-таки открыт, либо МЭ блочит все подключения к RDP, кроме другого вашего статика, или адреса, которому вы открыли доступ по заявке с сайта? Это кстати подвожу к тому, что если ничего не ограничивает пулять в RDP-сервер извне, то любой скрипт-кидди сможет написать use auxiliary/dos/windows/rdp/ms12_020_maxchannelids где нужно. А завтра, что-нибудь еще. И тут вопрос не в скорости патчевания — они априори реактивны, сналача нашли уязвимость, потом появился патч. Можно ставить все патчи, но вот только они часто появляются после паблика эксплойта.

    Атак-серфэйс в прошлом году был большой. Пример. Писались целые бот-сети на скан RDP и захват через него компов по ms12_020.