ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
21.05.2009, 11:50
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
защита RDP от брута
каким образом в политике безопасности можно внести ограни4ения на количество коннектов по RDP с одного хоста\другим условиям, по юзеру вносить правила для локальной политики глупо, т.к. многопоточный брут юзера с админправами любым хостом задисейблит этого пользователя для всех и фактически выполнит функции DoS. можно как-то засетапать правила коннектов 4исто для хоста, или хотя бы вайтлист подсетей для разрешения коннекта?
|
|
|
21.05.2009, 12:24
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 577
Провел на форуме:
1636674
Репутация:
171
|
|
лучше фаером блокируй, ну и + пароль нормальный с не-дефолтныйми юзерами
|
|
|
|
21.05.2009, 12:28
|
|
Постоянный
Регистрация: 09.11.2006
Сообщений: 639
Провел на форуме:
1917742
Репутация:
541
|
|
есть хорошая программка 2X SecureRDP  |
|
|
|
22.05.2009, 02:14
|
|
Administrator
Регистрация: 12.10.2006
Сообщений: 466
Провел на форуме:
17234747
Репутация:
5170
|
|
Давайте все же плясать от топологии сети, при пробросе трафика со шлюза на локальную машину логичней будет задействовать сам шлюз для фильтрации, иначе в любом случаи нагрузка будет ложиться на ПО.
Так как сама политика блокировки учётных записей не снизит основную нагрузку (это не значит, что ей стоит пренебрегать) логичней в данном случаи будет перебросить ответственность на уровень ниже, "фаерволл". Windows Firewall и IPSec, в обоих случаях присутствует поддержка возможности фильтрации трафика, в том числе и по определённому порту, а так же работа с диапазонами заданных адресов.
Изначально проблема в том, что брут идет по причине прослушивания стандартного RDP-порта, так что в рамках хорошего тона для службы стоит сменить стандартный порт, а так же переименовать имя учетной записи администратора, что решает в большинстве случаев суть вопроса.
Последний раз редактировалось ettee; 22.05.2009 в 13:08..
|
|
|
|
29.05.2009, 22:04
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
а где можно сменить порт рдп? и как фаерволом настроить правила?
|
|
|
|
29.05.2009, 22:19
|
|
Постоянный
Регистрация: 29.04.2008
Сообщений: 913
Провел на форуме:
10460911
Репутация:
1031
|
|
дома стоит kis9 , добавляешь mstsc.exe и уже в параметрах указываешь, что тебе нужно
|
|
|
|
30.05.2009, 00:02
|
|
Administrator
Регистрация: 12.10.2006
Сообщений: 466
Провел на форуме:
17234747
Репутация:
5170
|
|
Сообщение от ProTeuS
а где можно сменить порт рдп? и как фаерволом настроить правила?
REG ADD /?
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Termina l Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 123 /f
netsh firewall help
netsh firewall add portopening TCP 3389 "Remote Desktop" enable CUSTOM 6.6.6.6/255.255.255.0
Так же настройка WF доступна через групповые политики ( Computer Configuration - Administrative Templates - Network - Network Connections - Windows Firewall).
|
|
|
|
30.05.2009, 00:16
|
|
Moderator - Level 7
Регистрация: 12.07.2008
Сообщений: 1,705
Провел на форуме:
5914048
Репутация:
1350
|
|
Любой вменяемый администратор запретит доступ учетной записи administrator(причем заранее переименованной) использовать терминальный доступ.Для этого есть группа с минимальными правами или она так для вида создана.И откуда взяли учетные записи по которым брутят.Политика блокировки учетных записей тоже применяется не плохо,если имеется ввиду Dos ,то откуда происходит утечка учетных записей.
Последний раз редактировалось SpangeBoB; 30.05.2009 в 00:25..
|
|
|
|
30.05.2009, 01:55
|
|
Новичок
Регистрация: 24.05.2009
Сообщений: 23
Провел на форуме:
44316
Репутация:
16
|
|
Сообщение от SpangeBoB
Любой вменяемый администратор запретит доступ учетной записи administrator(причем заранее переименованной) использовать терминальный доступ.Для этого есть группа с минимальными правами или она так для вида создана.И откуда взяли учетные записи по которым брутят.Политика блокировки учетных записей тоже применяется не плохо,если имеется ввиду Dos ,то откуда происходит утечка учетных записей.
Спанч, я у тебя кога-то спрашивал и ты говорил, что это можно реализовать сертификатами.
Я же никогда рдпхи на шлюзе не открываю, только после впна. а впн брутить... удачки...
|
|
|
|
30.05.2009, 02:06
|
|
Moderator - Level 7
Регистрация: 12.07.2008
Сообщений: 1,705
Провел на форуме:
5914048
Репутация:
1350
|
|
Сообщение от Zaya
Спанч, я у тебя кога-то спрашивал и ты говорил, что это можно реализовать сертификатами.
Я же никогда рдпхи на шлюзе не открываю, только после впна. а впн брутить... удачки...
Можно и с помощью сертификатов реализовать аунтефикацию.Подробней тут:
http://www.petri.co.il/securing_rdp_communications.htm
http://technet.microsoft.com/en-us/library/cc782610(WS.10).aspx
http://articles.techrepublic.com.com/5100-10878_11-6166676.html
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
