Remote Desktop direkt dem Internet aussetzen

Ich habe einen kleinen Server hinter meinem Router, auf dem Windows 10 ausgeführt wird. Es ist ziemlich einfach, Remote Desktop direkt mit dem Internet einzurichten und den erforderlichen Port freizulegen, indem Sie die Konfiguration des Routers ändern.

Frage: Muss ich mich der Sicherheitsprobleme bewusst sein, die sich darauf beziehen? Ich meine, mein Server ist mindestens für jeden zugänglich, der eine gültige Kombination aus Benutzername und Passwort kennt.

MS sagt nur

Wenn sie möchten beschränken Sie, wer auf Ihren PC zugreifen kann, und erlauben Sie den Zugriff nur mit der Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA). Wenn Sie diese Option aktivieren, müssen sich Benutzer im Netzwerk authentifizieren, bevor sie eine Verbindung zu Ihrem PC herstellen können. Das Zulassen von Verbindungen nur von Computern, auf denen Remotedesktop mit NLA ausgeführt wird, ist eine sicherere Authentifizierungsmethode, mit der Sie Ihren Computer vor böswilligen Benutzern und Software schützen können. Weitere Informationen zu NLA und Remote Desktop finden Sie unter Konfigurieren von NLA für RDS Netzwerkverbindungen.

Author: Dr. Snail, 2018-12-06
Source

4 answers

Kein seriöser Netzwerkadministrator würde einen RDP-Server direkt im Internet verfügbar machen.

Wenn sich darin Löcher /Hintertüren befinden, ist es nicht nur für einen Teil des Systems (dh einen Wendepunkt/eine Sprungbox) "game over", sondern es ist auch eine Gelegenheit für DoS-Angriffe und Fingerabdrücke Desktop(s) im LAN, die unneccessary Informationen weggeben.

Abhängig vom RDP-Server und-Client kann es auch möglich sein, einen MITM-Angriff (man in the Middle) durchzuführen. Es gibt verschiedene Möglichkeiten, dies dies kann auch das Erzwingen eines Protokoll-Downgrads oder das Verlassen auf unsichere Kryptographie umfassen. Sie könnten https://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp / interessant.

Ein umsichtiger Betreiber kann ein VPN einrichten und nur Remote-RDP-Zugriff darüber zulassen, um eine andere Sicherheitsebene, Zugriffsmanagement, Auditing und Kontrolle bereitzustellen.

 6
Author: davidgo,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-12-13 13:28:23

Der Remotedesktop von Microsoft verwendet Verschlüsselung, daher sind und angemessen geschützt. Der Schwachpunkt ist der Brute-Force-Angriff gegen Ihren Benutzernamen und Ihr Passwort.

Mit der Art und Weise Hacker scannen kontinuierlich das Internet nach Schwachstellen, und mit der Anzahl der derzeit bekannten (und unbekannten) exploits, es ist viel besser, so viele Schutzmaßnahmen wie möglich einzurichten (aber nicht bis zu dem Punkt, den Zugang zu komplizieren).

Um RDP zu sichern, können Sie tun folgendes:

  1. Ändern Sie den Standardport, den Remote Desktop abhört

  2. Starke Anmeldeinformationen
    Verwenden Sie einen nicht standardmäßigen Benutzernamen und ein langes und kompliziertes Passwort

  3. Eingeschränkte Benutzerkonten
    Beschränken Sie alle Benutzer, die RDP verwenden können, indem Sie ausführen secpol.msc und Navigieren zu Lokale Richtlinien > Zuweisung von Benutzerrechten, doppelklicken Sie auf " Anmelden über Remotedesktopdienste zulassen" und entfernen alle angezeigten Gruppen, fügen Sie dann Ihren einen Benutzer hinzu.

  4. Hohe Sicherheitsstufe
    Führen Sie gpedit.msc aus und navigieren Sie zu Lokale Computerrichtlinie > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzung Host > Sicherheit und setzen:

    • "Set Client connection encryption level" - > Aktiviert und hochrangig, damit Ihre Sitzungen mit 128-Bit-Verschlüsselung gesichert werden können
    • " Erfordern die Verwendung einer bestimmten Sicherheitsschicht für Remote (RDP) - verbindungen" - > " SSL
    • "Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich" - > Aktiviert

  5. Legen Sie eine Kontosperrrichtlinie fest
    So sperren Sie ein Konto für einen bestimmten Zeitraum nach einer Reihe falscher Vermutungen, gehen Sie zu Administrative Tools > Lokale Sicherheitsrichtlinie > Kontorichtlinien > Kontosperrrichtlinien und legen Sie Werte für alle drei Optionen fest (3 ungültige Versuche mit einer Sperrdauer von 3 Minuten angemessen).

  6. Verfolgen Sie die Anmeldung an Ihrem PC
    Gehen Sie regelmäßig zur Ereignisanzeige in - Anwendungen-und Dienstprotokolle > Microsoft > Windows > TerminalServices-LocalSessionManger > Betriebs - , um Login-Informationen zu sehen.

  7. Halten Sie ein hohes UAC-Niveau

  8. Erstellen Sie einen VPN-Server
    Sie können auch zur Länge der Einrichtung eines VPN-Servers wechseln (link), was wird eine weitere Schicht von hinzufügen Sicherheit.

Ich hatte Kontakt auf unserer Website mit Plakaten, die umgesetzt haben alle oben genannten Punkte, und das scheint wie genug Schutz. Mit all diesen Vorsichtsmaßnahmen wird ein Brute-Force-Angriff durchgeführt grundsätzlich unmöglich, daher ist die einzige verbleibende Bedrohung ein Exploit. Aber da keine Exploits jemals in VPN Login oder in RDP Login gefunden wurden, Ich würde denken, dass dieses Setup sicher genug ist.

 5
Author: harrymc,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-12-13 20:31:07

Sorry, ich bin zu spät zur party, aber ich dachte, für deine und anderer Zukunft, vielleicht finden Sie meine Erfahrungen mit einem ähnlichen Problem-lassen Sie uns gehen Sie einfach mit "interessant".

Ich habe vor einiger Zeit ein OpenVPN auf einem Linux-Server eingerichtet. Linux verfügt über hervorragende Protokollierungsfunktionen mit IPTables (übrigens eine erstaunliche Netzwerksoftware). Ich habe den SSH-Port geöffnet, damit ich Zertifikate übertragen kann.

In dieser Nacht überprüfte ich die Protokolle und entdeckte, dass ein externer Schauspieler mit roher Gewalt begann dieser Port innerhalb von Sekunden nach dem Freilegen auf dem Router. Da sie wussten, dass das Konto nach drei fehlgeschlagenen Versuchen gesperrt werden konnte, verwendete ihre Botfarm dasselbe Passwort und rotierte durch Kontonamen, wodurch verhindert wurde, dass das System mehrere fehlgeschlagene Versuche mit demselben Kontonamen erkannte. Da sie dann erkannt haben müssen, dass IPTables fehlgeschlagene Versuche von derselben IP-Adresse blockieren kann, haben sie nur etwa sechs Versuche von derselben IP versucht, bevor sie zu einer anderen gewechselt sind Computer.

Ich sage Bot Farm, weil während der ganzen Woche (ich habe SSH bald danach ausgesperrt, aber den Port offen gehalten, damit ich zusehen konnte-ich war total fasziniert) die Anzahl der IP ' s, von denen die Quelle kam, nie wiederholt wurde, alle paar Sekunden, jede Minute, jede Stunde eines jeden Tages-sechs Versuche und eine neue IP-Adresse tauchten aus derselben alphabetischen Liste von Kontonamen auf.

VPN einrichten. Verwenden Sie Zertifikate und keine Kontonamen. Und entlarven Sie keine Dinge wie RDP für mehr als ein paar Stunden, auch wenn Sie ein tolles System zum Erstellen von Passwörtern haben. Tu es nicht. (Übrigens, mein Kontoname stand auf seiner Liste und wartete nur darauf, dass er das richtige Passwort erreichte.)

 3
Author: knockNrod,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-05-17 17:37:33

Die Modellierung der Bedrohungen hilft, Abwehrmaßnahmen zu identifizieren. Es ist hilfreich, die Bedrohungen und Abwehrkräfte mit denen von Webdiensten zu vergleichen, die ständig erfolgreich im Internet verwendet werden.

Bedrohung: Exploit im Code

  • Verteidigung: Sofortiges Patchen. Dies ist dasselbe wie bei den meisten Internetdiensten.

Bedrohung: Brute-force-Passwort-Angriffe

  • Verteidigung: Aussperrung nach zu vielen Anmeldungen. Dies wird von einigen Internetdiensten verwendet. Dieser ist für viele Websites in Ordnung, aber für andere ist Denial of Service ein Problem, wobei Captcha eine Lösung ist. Da einfaches RDS Captcha nicht unterstützt, ist eine andere Verteidigung nützlich, wenn Lock-Outs zu einem Problem werden.

  • Verteidigung: Client-Gerät authentifizieren. Die meisten Internetdienste tun dies nicht, weil reibungsloser allgegenwärtiger Zugang so wichtig ist und die Verteidigung für ein sicheres System nicht notwendig ist. RDS-Installationen haben oft nur wenige Client-Geräte, was die Clientauthentifizierung zu einem praktische Option, die nützlich ist, wenn andere Abwehrkräfte unzureichend sind.

Bedrohung: Schwache Passwörter

  • Verteidigung: Geräteunterstützte Anmeldung. Wie bei Internetdiensten im Allgemeinen können die benutzerorientierten Geräte die Remote-Anmeldegeheimnisse speichern. Das Gerät authentifiziert den Benutzer über eine reibungsarme Herausforderung wie eine Geräte-PIN oder Gesichtserkennung. Ohne die Last, häufig ein umständliches Passwort eingeben zu müssen, verwenden Benutzer eher wählen starke Passwörter.

  • Verteidigung: Starke Passwortführung. Der Vorteil ist für RDS derselbe wie für Internetdienste, obwohl diese Anleitung für RDS je nach verfügbarer Benutzeroberfläche zur Kennwortänderung möglicherweise nicht praktikabel ist.

  • Verteidigung: Multi-Faktor-Authentifizierung. Der Vorteil ist für RDS derselbe wie für Internetdienste, obwohl für RDS ein komplementärer Dienst erforderlich ist.

  • Verteidigung: Benutzerzugriff einschränken. Gewähren Sie die benutzer mit geringsten Berechtigungen, ähnlich wie auf einer Website jeder Benutzer nur eingeschränkten Zugriff auf die Daten der Website hat.

Bedrohung: Kompromittiertes Client-Gerät

  • Verteidigung: Multi-Faktor-Authentifizierung. Wie oben. Wie bei Internetdiensten wird die Mehrfaktorprüfung jedoch nicht durchgeführt, wenn das Gerät bereits validiert ist.

Bedrohung: Schwache Protokollversionen

  • Verteidigung: Konfigurieren Sie nur die Unterstützung starker Protokolle. Das web-äquivalent deaktiviert alte SSL-Versionen.

Sichern von Remote Desktop (RDP) für Systemadministratoren verfügt über Techniken zur Implementierung vieler dieser Abwehrkräfte.

 1
Author: Edward Brey,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-11-16 15:02:33