Hat Windows Remote Desktop Schutz vor Brute-Force-Angriffen?

7

Wenn ich einen Server (Windows Server 2008) im Internet haben würde, der Remotedesktopverbindungen zulässt, gibt es irgendetwas, das zufällige Personen davon abhält, Brute-Force-Kombinationen aus Benutzername und Kennwort zu versuchen?

würde es beispielsweise Benutzer oder IP-Adressen nach einer bestimmten Anzahl von Fehlern sperren?

codeulike
quelle
Port klopfen?
Jé Queue
1
Ja, das würde helfen. Ich habe mehr gefragt, welche Art von Schutz standardmäßig aktiviert ist
codeulike
Öffnen Sie Port 3389 nicht für das Internet. Verwenden Sie ein Remotedesktopdienste-Gateway und wickeln Sie sich in die warme Fuzzy-Decke von SSL-geschütztem RDP über HTTPS!
Ryan Ries
@ Ryan könntest du eine Antwort mit etwas mehr Details dazu hinzufügen?
Codeulike
@codeulike Betrachten Sie es als erledigt
Ryan Ries

Antworten:

7

(Bearbeitet per Kommentar):

Wie bereits erwähnt, sollte RDP im Allgemeinen nicht direkt im öffentlichen Internet verfügbar gemacht werden. Die Begrenzung dieser Gefährdung kann auf verschiedene Arten erfolgen, indem einfach der Zugriff auf Port 3389 außer über VPN blockiert wird und RD Gateway für eine erweiterte Lösung verwendet wird. Wenn Sie eine IPS- oder IDS + -Firewall haben, die dies unterstützt, können Sie diese verwenden, um Hosts mit wiederholten Anmeldefehlern zu blockieren.

Für den internen Brute-Force-Schutz können Sie in der lokalen Sicherheitsrichtlinie Sperrrichtlinien festlegen. Es gibt Einstellungen für die Dauer der Kontosperrung, den Schwellenwert für die Kontosperrung und die Wartezeit, bevor eine Sperre zurückgesetzt wird.

Mit secpol.msc können Sie diese Einstellungen ändern: secpol.msc -> Sicherheitseinstellungen -> Kontorichtlinien -> Kontosperrungsrichtlinie.

Phoebus
quelle
Dennoch sind die Brute-Force-Angriffe mit (falschem) Benutzernamen-Wörterbuch erlaubt (keine Richtlinie, um sie zu stoppen, etwas muss vorgesetzt werden)
Alfabravo
Die Frage ist über zufällige Benutzername / Passwort-Angriff über RDP, und Antwort hier nicht abgedeckt
Mhmd
Dies sollte nicht als Antwort markiert worden sein. Es ist die Lösung eines faulen Mannes, die nur ein weiteres Problem verursacht - Ihr Domain-Administratorkonto wird gesperrt. Eine nützliche Lösung würde darin bestehen, Verbindungen von einer durchweg fehlerhaften Quell-IP-Adresse zu blockieren und nicht das Benutzerkonto zu sperren, das das Ziel ist. Sie ermöglichen es dem Angreifer im Grunde nur, einen DOS-Angriff auf Sie auszuführen, indem Sie Sie aussperren, wann immer er möchte. Verwenden Sie dies als letzte Verteidigungslinie, aber nicht als erste Verteidigungslinie. Dazu sollte die IP-Adresse des Angreifers auf die schwarze Liste gesetzt werden.
Austin '' Danger '' Powers
@Austin Dies ist eine sehr alte Antwort, aber ich stimme Ihnen aus technischer Sicht zu. Soweit ich weiß, ist diese Art von "fail2ban" -Blockierung in RDP, Sek-Richtlinien oder Windows-Firewall nicht implementiert. Ich nahm an, dass ich bei der Interpretation des Fragentitels sehr wörtlich war, obwohl es damals schwer ist, sich daran zu erinnern. Wenn ich nicht auf einem mobilen Gerät bin, füge ich eine Klarstellung hinzu. Keine Notwendigkeit, schnippisch zu werden.
Phoebus
Nimm es nicht persönlich! :) Es dauert weniger als eine Stunde, bis ein Angreifer weitergeleitete RDP-Ports mit Blick auf das Internet findet und sie Dutzende Male pro Minute brutal erzwingt. Jeder, der diesen Rat befolgt, wird ständig ausgesperrt. Stattdessen können Sie in der Windows-Firewall eine Regel erstellen, die nur eingehende Verbindungen aus "guten" IP-Bereichen (dh Ihren eigenen) zulässt. Verwenden eines Drittanbieter-Tools wie RdpGuard zum automatischen Blockieren fehlerhafter IP-Adressen oder Verwenden von SSH (wie von Ryan Ries vorgeschlagen). Das sind drei bessere Lösungen, mit denen Sie nicht direkt von Ihrem eigenen Server ausgeschlossen werden! : D
Austin '' Danger '' Powers
7

Öffnen Sie Port 3389 nicht für das Internet. Verwenden Sie ein Remotedesktopdienste-Gateway (RD-Gateway) und wickeln Sie sich in die warme Fuzzy-Decke von SSL-geschütztem RDP über HTTPS ein!

(Es ist möglicherweise immer noch als TS Gateway auf Server 2008 ohne R2 bekannt. Erinnern Sie sich nicht.)

Sie können die RDS-Rolle zu Windows Server 2008 R2 hinzufügen. Das RD-Gateway ist ein Rollendienst von RDS.

Dies bietet Ihnen die Möglichkeit, über den regulären RDP-Client (Version 7+) über den SSL-geschützten Port 443 und nicht über den herkömmlichen Port 3389 "RDP" zum RD-Gateway zu übertragen. Über dieses Gateway können Sie dann nahtlos RDP zum internen Gateway durchführen Hosts, die sich auf der anderen Seite des Gateways befinden. Sie verwenden RD CAPs und RD RAPs, um genau zu steuern, wer mit was eine Verbindung herstellen kann. Sie verwenden ein PKI-Zertifikat für SSL-Zwecke.

Dies ist wesentlich sicherer als normales RDP. Außerdem ist es nicht so anfällig für bestimmte Exploits, die kürzlich das reguläre RDP getroffen haben, wie z. B. MS012-020.

Ein sehr ausführliches Tutorial finden Sie hier:

http://www.myotherpcisacloud.com/post/2011/11/23/Remote-Desktop-Services-Tutorial-1-(RD-Gateway).aspx

Ryan Ries
quelle
Dies ist also eine sofort einsatzbereite Möglichkeit, RDP sicherer zu machen? Fantastisch für AWS-Instanzen usw.
Codeulike
RDP ist für sich genommen nicht besonders unsicher, aber ich denke, RD Gateway ist ein fantastisches Tool. Die Verwendung des Gateways an sich kostet nichts extra, sondern nur den vollständigen RD-Sitzungshost, für den Sie CALs benötigen. Also ja, sofort einsatzbereit, kostenlos, SSL-geschützt, benötigt nur Port 443 und dient als Single-Point-Gateway, um auf alle Ihre internen Server zugreifen zu können. Es ist toll.
Ryan Ries
3

Ich stelle fest, dass diese Frage beantwortet wurde, aber Sie haben RDP im Internet "offen". Alarmglocken läuten. Sie müssen wirklich darüber nachdenken, es mit einem SSL-VPN zu versehen.

Simon Catlin
quelle