Exponha a área de trabalho remota diretamente à Internet

Nenhum administrador de rede sério exporia diretamente um servidor RDP na Internet.

Se houver quaisquer buracos/backdoors nele, não apenas será um "fim de jogo" para parte do sistema (ou seja, um ponto de inflexão/caixa de salto), mas também será uma oportunidade para ataques DoS e impressão digital de desktops na LAN divulgando informações desnecessárias.

Dependendo do servidor e do cliente RDP, também pode ser possível fazer um ataque MITM (man in the middle). Existem várias maneiras de fazer isso, incluindo forçar um downgrade de protocolo ou confiar em criptografia insegura. Você pode encontrarhttps://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/interessante.

Um operador prudente pode configurar uma VPN e permitir apenas acesso RDP remoto para fornecer outra camada de segurança, gerenciamento de acesso, auditoria e controle.

A Área de Trabalho Remota da Microsoft usa criptografia, entãocomunicaçõesestão, portanto, razoavelmente protegidos. O ponto fraco é o ataque de força bruta contra seu nome de usuário e senha.

Dado o modo como os hackers examinam continuamente a Internet em busca de pontos fracos, e com o número de explorações atualmente conhecidas (e desconhecidas), é muito melhor configurar o máximo de proteções possível (mas não a ponto de complicar demais o processo). acesso).

Para proteger o RDP, você pode fazer o seguinte:

1. Altere a porta padrão em que a Área de Trabalho Remota escuta

2. Credenciais fortes
   Use um nome de usuário não padrão e uma senha longa e complicada

3. Contas de usuários restritas
   Limite severamente os usuários que podem usar RDP executando secpol.msce navegando para Políticas Locais > Atribuição de Direitos do Usuário, clique duas vezes em "Permitir logon por meio de serviços de área de trabalho remota" e remova todos os grupos exibidos e adicione seu único usuário.

4. Alto nível de segurança
   Execute gpedit.msc e navegue até Política de Computador Local > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host de Sessão de Área de Trabalho Remota > SegurançaE definir:

   • "Definir nível de criptografia de conexão do cliente" -> Ativado e de alto nível, para que suas sessões sejam protegidas com criptografia de 128 bits
   • "Exigir uso de camada de segurança específica para conexões remotas (RDP)" -> SSL
   • "Exigir autenticação de usuário para conexões remotas usando autenticação em nível de rede" -> Ativado

5. Defina uma política de bloqueio de conta
   Para bloquear uma conta por um período de tempo após uma série de suposições incorretas, vá paraFerramentas administrativas > Política de segurança local > Políticas de conta > Políticas de bloqueio de contae defina valores para todas as três opções (3 tentativas inválidas com duração de bloqueio de 3 minutos são razoáveis).

6. acompanhe o login no seu PC
   Acesse periodicamente o Visualizador de Eventos em Logs de aplicativos e serviços > Microsoft > Windows > TerminalServices-LocalSessionManger > Operacional, para ver as informações de login.

7. Mantenha um alto nível de UAC

8. Crie um servidor VPN
   Você também pode se preocupar em configurar um servidor VPN (link), o que adicionará outra camada de segurança.

Tive contato em nosso site com postadores que implementaram todos os pontos acima, e isso parece proteção suficiente. Com todas estas precauções implementadas, um ataque de força bruta torna-se basicamente impossível, pelo que a única ameaça restante é alguma exploração. Mas como nenhuma exploração foi encontrada no login VPN ou no login RDP, eu acho que essa configuração é segura o suficiente.

Desculpe, estou atrasado para a festa, mas pensei que, para referência futura sua e de outras pessoas, você poderia achar minhas experiências com um problema relacionado - vamos apenas com "interessante".

Eu configurei um OpenVPN em um servidor Linux há algum tempo. O Linux possui excelentes recursos de registro usando IPTables (um software de rede incrível, aliás). Abri a porta SSH para poder transmitir certificados.

Naquela noite, revisei os registros e descobri que um ator externo começou a aplicar força bruta naquela porta segundos depois de expô-la no roteador. Então, como eles sabiam que a conta poderia ser bloqueada após três tentativas fracassadas, o bot farm estava usando a mesma senha e alternando os nomes das contas, evitando que o sistema reconhecesse várias tentativas fracassadas com o mesmo nome de conta. Então, como eles devem ter percebido que o IPTables poderia bloquear tentativas malsucedidas do mesmo endereço IP, eles tentaram apenas seis tentativas do mesmo IP antes de mudar para outro computador.

Digo bot farm, porque ao longo da semana (bloqueei o SSH logo depois, mas mantive a porta aberta para poder assistir - fiquei totalmente fascinado) o número de IPs de onde veio a fonte nunca se repetiu, a cada dois segundos , a cada minuto, a cada hora de cada dia – seis tentativas e um novo endereço IP apareceram continuando na mesma lista alfabética de nomes de contas.

Configure uma VPN. Use certificados e não nomes de contas. E não exponha coisas como RDP por mais de algumas horas, mesmo se você tiver um sistema incrível para criar senhas. Não faça isso. (Aliás, o nome da minha conta estava na lista dele, apenas esperando que ele encontrasse a senha correta.)

Concordo que geralmente não é recomendado expor o RDP à Internet. Mas já fiz isso algumas vezes para acessar uma caixa de salto, depois de configurar o firewall para permitir conexões RDP apenas a partir de um endereço IP estático remoto conhecido. Isso evita qualquer exploração de força bruta ou vulnerabilidade. Embora exista a possibilidade de ataque Man In the Middle, o NLA não impediria isso.

Eu faço o mesmo com o SSH.