Всем доброго дня!
Гуру удаленных рабочих столов подскажите как защитить rdp из внешки.
Собираюсь поднять на допустим на windows 2008 терминальный сервер для удаленной работы с 1с.
Сам офис находится в ж.. Интернет жпрс мегафоновский. Но вроде работает более менее стабильно. Мегафоновский модем включен в роутер Д-линк. Подключу услугу статики.
Меня больше интересует защита такого подключения. Можно как то сделать, чтобы подключались только те кого укажешь? Часто ли взламывают rdp? Можно было бы конечно прописать какие именно ip будут подключаться, но они то же динамические..
Гуру удаленных рабочих столов подскажите как защитить rdp из внешки.
Собираюсь поднять на допустим на windows 2008 терминальный сервер для удаленной работы с 1с.
Сам офис находится в ж.. Интернет жпрс мегафоновский. Но вроде работает более менее стабильно. Мегафоновский модем включен в роутер Д-линк. Подключу услугу статики.
Меня больше интересует защита такого подключения. Можно как то сделать, чтобы подключались только те кого укажешь? Часто ли взламывают rdp? Можно было бы конечно прописать какие именно ip будут подключаться, но они то же динамические..
По теме из базы знаний
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Установить на сервере в параметрах rdp "разрешить подключаться только с компьютеров, на которых работает рабочий стол с проверкой подлинности на уровне сети", при этом, если клиенты на ХР, то необходимо будет активировать CredSSP (только для SP3). Можно ограничить пользователей rdp на стороне сервера, также обязательно задать сложные пароли, плюс можно изменить порт rdp по умолчанию.
Ну порт я думаю не проблема просканировать. Сложные пароли и логины - думал про это. В принципе заносится 1 раз и запоминается системой. Можно очень сложные наворотить. С сертификатами, не очень знаком. Помнится подключал клиентов к серверу, запрашивался сертификат. Ставил галку не спрашивать и спокойно подключался. Ну может это не то. Надо изучить мат. часть.
(3) кольщик, Сертификаты это не совсем то, здесь речь идет об NLA - более бесопасный механизм проверки подлинности при установке соединения. Можно, как вариант, рассмотреть создание VPN-туннеля на базе самой винды (L2TP с сертификатом или предварительным ключем) или OpenVPN, это будет надежнее, чем просто rdp.
(9),(10) кольщик, ЖПРС тоже разный бывает, кстати... Если есть 3G (хотя это уже не ЖПРС в общем-то), то вообще проблем нет. Если EDGE - то 2 сессии пробовал rdp сам, работает с периодическими тормозами, но терпимо.
По поводу РИБ - если есть хоть какая-то возможность от нее отказаться, то лучше отказаться...
По поводу РИБ - если есть хоть какая-то возможность от нее отказаться, то лучше отказаться...
(14) кольщик, становится статическим и видимым в интернете, хотя очень редко бывают (были?) хитрозадые исключения типа фиксированного "серого" адреса, но это редкость. Кстати, можно еще с модемом пошаманить - выставить приоритетные режимы и прочее, плюс посмотреть на других операторов - возможно, не все так грустно с 3G.
Тоже стал вопрос о защите RDP в офисе.
Топология следующая:
Есть ISA на отдельной машине, а за ней три сервера (физически разные машины)
1. AD + DNS + DHCP
2. Exchange
3. TS
На ISA-e опубликован OWA со своим сертификатом.
Нужно обезопасить подключение из инета к ISA и к DC по RDP
Пока в Security Layer стоит "RDP Security Layer"
А в Encryption : High
Теперь вопросы:
1. Какая разница между High и FIPS (что устойчевее)
2. Стоит ли выдать сертификат и использовать SSL, TSL ?
3. Что из безопастнее 1 или 2 ?
4. На данный момент на машине с ISA-ой уже есть сертификат (для OWA) (смотр. скрин) можно ли использовать его ?
5. Или выдать сертификат для gw.firma.local (gw имя сервера)
Зарание благодарен.
Топология следующая:
Есть ISA на отдельной машине, а за ней три сервера (физически разные машины)
1. AD + DNS + DHCP
2. Exchange
3. TS
На ISA-e опубликован OWA со своим сертификатом.
Нужно обезопасить подключение из инета к ISA и к DC по RDP
Пока в Security Layer стоит "RDP Security Layer"
А в Encryption : High
Теперь вопросы:
1. Какая разница между High и FIPS (что устойчевее)
2. Стоит ли выдать сертификат и использовать SSL, TSL ?
3. Что из безопастнее 1 или 2 ?
4. На данный момент на машине с ISA-ой уже есть сертификат (для OWA) (смотр. скрин) можно ли использовать его ?
5. Или выдать сертификат для gw.firma.local (gw имя сервера)
Зарание благодарен.
Обычные методы. Пароль покруче и групповые политики. Ну ещё настрой сообщать тебе о некоторых проблемах через СМС.
Дальнейшее зависит от стоимости данных. Если это банковские данные по деньгам, то стоит покупать программы специализированные. Следующий этап - отношение стоимости защиты к стоимости данных. Основной критерий в таком случае - отношение ценности данных к количеству усилий, которые стоит потратить на взлом.
Если у тебя там фильмы - то тратить 20 часов не твой взлом нафиг никому не нужно. А для банка и полгода можно потратить.
Дальнейшее зависит от стоимости данных. Если это банковские данные по деньгам, то стоит покупать программы специализированные. Следующий этап - отношение стоимости защиты к стоимости данных. Основной критерий в таком случае - отношение ценности данных к количеству усилий, которые стоит потратить на взлом.
Если у тебя там фильмы - то тратить 20 часов не твой взлом нафиг никому не нужно. А для банка и полгода можно потратить.
VPN на основе IPSec если есть возможность или openVPN. Шлюз на PfSense на древнем компе и две сетевухи и воткнутый "свисток" 3G решат задачу. Дешево! Чуть чуть поюзать мозг и будет работать пока комп не развалится. ИМХО.
По защите RDP. Можно попробовать следующее:
1. Сменить порт RDP. Т.к. в 90% случаев все таки сканируют 3389.
2. Настроить маршрутизатор чтобы могли подключаться только определенные ип или определенная подсеть ип.
3. Лучше поставить VPN и заходить через него. Еще в OpenVPN можно попробовать UDP или TCP протокол в настройках.
Если канал реально GPRS то лучше сменить на 3G, если нет возможности, то на GPRS лучше УРИБ. Объем большой и не зависит от скорости интернета на ftp хоть как то можно пропихнуть не большой файл обмена.
1. Сменить порт RDP. Т.к. в 90% случаев все таки сканируют 3389.
2. Настроить маршрутизатор чтобы могли подключаться только определенные ип или определенная подсеть ип.
3. Лучше поставить VPN и заходить через него. Еще в OpenVPN можно попробовать UDP или TCP протокол в настройках.
Если канал реально GPRS то лучше сменить на 3G, если нет возможности, то на GPRS лучше УРИБ. Объем большой и не зависит от скорости интернета на ftp хоть как то можно пропихнуть не большой файл обмена.
Мобильная связь в районе работает не стабильно. Нужно будет подключать удаленные магазины. Если они будут работать с базой онлайн, а связь будет рваться, то как будет проходить работа? Вопщем связь это дополнительная заморочка..
(24) кольщик, вообще по опыту, работа через терминалку с нестабильным каналом это редкая гадость, постоянные подвисания и разрывы замучают. Если еще будешь прокидывать принтеры или ккм в терминалку - совсем беда. Хотя конечно надо пробовать в каждом конкретном случае, интернет везде разный... У тебя и сервер и клиенты будут работать на жпрс?
(24) кольщик, если речь идет о магазинах, то лучше, видимо, действительно заморочиться с РИБ. Хотя от магазина зависит, у меня через 3G по rdp работает магазин стройматериалов (со стороны сервера ADSL), свисток подняли под потолок на удлинителе 1,8 метра, 3G стабилен, в общем-то, не жалуются.
(26) кольщик, rdp проще настроить и проще обслуживать, надо попробовать - сделай прямой рдп, безо всяких vpn и т.д. пусть поработают пару дней если устроит - хорошо, думай как защитить, если работать невозможно - тогда придется отказаться в пользу РИБ. я для админки иногда подключаюсь с дачи, где мобильная связь хорошая, канал жпрс и иногда немного 3Г на сервер со стабильным каналом FTTx и то проблемно, реально с базой работать невозможно. А у тебя еще с обеих сторон жпрс...
(28) кольщик, воспользуйся DDNS, это бесплатно. Для d-link:
- регистрируешься на сайте dlinkddns.com
- создаешь себе там домен например magazin2013.dlinkddns.com
- заходишь в админку роутера и прописываешь там данные своей учетки на закладке "настройка DDNS"
- жмешь тест учетной записи
- если тест пройден, то можешь подключаться к своему серверу по rdp используя имя домена magazin2013.dlinkddns.com (конечно не забыть проброс на порт 3389)
- регистрируешься на сайте dlinkddns.com
- создаешь себе там домен например magazin2013.dlinkddns.com
- заходишь в админку роутера и прописываешь там данные своей учетки на закладке "настройка DDNS"
- жмешь тест учетной записи
- если тест пройден, то можешь подключаться к своему серверу по rdp используя имя домена magazin2013.dlinkddns.com (конечно не забыть проброс на порт 3389)
идеальный вариант
30.
AlexInqMetal
24.05.13 17:42
(28) кольщик, воспользуйся DDNS, это бесплатно. Для d-link:
- регистрируешься на сайте dlinkddns.com
- создаешь себе там домен например magazin2013.dlinkddns.com
- заходишь в админку роутера и прописываешь там данные своей учетки на закладке "настройка DDNS"
- жмешь тест учетной записи
- если тест пройден, то можешь подключаться к своему серверу по rdp используя имя домена magazin2013.dlinkddns.com (конечно не забыть проброс на порт 3389)
30.
AlexInqMetal
24.05.13 17:42
(28) кольщик, воспользуйся DDNS, это бесплатно. Для d-link:
- регистрируешься на сайте dlinkddns.com
- создаешь себе там домен например magazin2013.dlinkddns.com
- заходишь в админку роутера и прописываешь там данные своей учетки на закладке "настройка DDNS"
- жмешь тест учетной записи
- если тест пройден, то можешь подключаться к своему серверу по rdp используя имя домена magazin2013.dlinkddns.com (конечно не забыть проброс на порт 3389)
Короче надо пробовать. РИБ меня конечно устраивает, но времени отнимет больше, так как не делал это никогда.
Создам ddns и буду пробовать. Последний раз такое пытался сделать для ip камеры. Чето не получилось, ip менялся, а я по имени уже попадал на чей то модем))
Создам ddns и буду пробовать. Последний раз такое пытался сделать для ip камеры. Чето не получилось, ip менялся, а я по имени уже попадал на чей то модем))
ну когда ип динамический оыбчно же опследние цифры меняются например был 217.4.56.79.56 а стал 217.4.53.23.56 прописатьв правилах чтобы могли подключатсья с подсети 217.4 ну у большинства провайдеров первая часть айпишника не меняется
В магазины только распределенку. То же Розница уже изначально под это дело "заточена". 15 магазинов на рознице, почти все через 3G-свистки. Местами связь только чистый GPRS без эджа и 3г. В терминалку можно зайти чтот сделать, но это ужасно медленно. А на обмены канала хватает.
Ну вот. Сколько людей, столько и мнений)
РИБ наверное придется делать, ну и обучать пользователей, чтобы при обмене никто ничего не скачивал.
Щас как раз на основном месте работы возник вопрос о резервном gsm интернет канале. Сижу про антенны читаю. Пишут можно такие скорости из мобильного интернета выжимать..))
РИБ наверное придется делать, ну и обучать пользователей, чтобы при обмене никто ничего не скачивал.
Щас как раз на основном месте работы возник вопрос о резервном gsm интернет канале. Сижу про антенны читаю. Пишут можно такие скорости из мобильного интернета выжимать..))
(39) кольщик, лучше обмен через свой ftp, тем более, что штатно РИБ через почту работает не во всех 1с-овских конфигурациях. Про скорости мобильного инета с внешними антеннами учти одну вещь - приоритет у голосового трафика перед пакетной передачей существует у всех операторов, т.е. в условиях перегруженной сети голос работать будет до последнего, а вот инет - нет...
(41) кольщик, да, лучше белый ip, ddns, если честно, для серьезного применения не советую, у меня бесплатный работал через раз, поэтому отказался... А на белом ip прекрасно через мой ftp работает пяток клиентов плюс сам там держу разнообразное файло для работы, удобно...
(39) кольщик, Тоже советую через ftp обмен. Обмен можно настроить автоматически, допустим с утра при запуске программы. И днем если надо срочно, по требованию офиса. Вечером лучше не делай, был у меня случай пользователи не дожидались завершение обмена т.к. был долгим, и выключали комп т.к. домой очень хотелось. В итоге обрушение базы. А утром им спешить некуда.
Если IP серый, то скорее всего провайдер дает интернет через NAT и никак туда не пробиться снаружи. Тут даже динамический днс не помогает. Столкнулся с этим на йоте месяц назад и кажется на мегафоне подобная штука была. Хотя тут как повезет. Старый тариф йоты, купленный года три назад, имеет динамический IP и в тоже время по нему можно легко зайти обратно, на серваке поднят сервис noip.org и склад успешно заходит по rdp, работает до сих пор.
Есть один способ, правда геморойный. Но когда пров не дает белый IP, то это выход. Делали мы так:
Стоит VPN-сервер в центральном офисе, в удаленных точках, которые на динамическом IP, на компе настраивается VPN-соединение и в автозагрузку кладется скрипт, который установит VPN-соединение с центральным серваком после загрузки компа. А когда соединилось, можно из центрального офиса обратно через VPN залезть на эту машину без проблем, у нас же есть IP этой машины, выданный VPN-сервером . Так у нас работали несколько магазинов в новосибе и хабаровске, там кажется скайлинк у нас был и белый IP давать не хотели.
Стоит VPN-сервер в центральном офисе, в удаленных точках, которые на динамическом IP, на компе настраивается VPN-соединение и в автозагрузку кладется скрипт, который установит VPN-соединение с центральным серваком после загрузки компа. А когда соединилось, можно из центрального офиса обратно через VPN залезть на эту машину без проблем, у нас же есть IP этой машины, выданный VPN-сервером . Так у нас работали несколько магазинов в новосибе и хабаровске, там кажется скайлинк у нас был и белый IP давать не хотели.
(61) Yestestvenno,
то впн замедляет работу
скорость работы зависит от многих факторов, в том числе и от производительности самого vpn сервера как программной так и аппаратной части. В общем случае замедления может и не быть если пропускная способность и производительность vpn сервера на много выше пропускной способности сети (а в данной теме речь идет вообще про гпрс). Тут надо в первую очередь наладить хоть какую то удаленку, и попробовать поработать, так как не имея нормального канала связи спорить vpn или не vpn вообще не вижу смысла.
Наружу выставляется не порт 3389 для терминала, а другой какой-либо ,это делается практически на любом роутере (Называется port-mapping,virtual Server и т.д) на клиенте RDP адрес подключения писать адрес:порт терминалки снаружи
Мой вариант, возможно не самый оптимальный, так как RDP не копал глубоко.
Если клиентская часть Windows 7 и выше, то берется USB token с сертификатом (EKU Client Auth, UPN содержит какое-то значение), настраивается IPSec VPN c авторизацией по EAP-SSL. Автоматом ничего подниматься не будет, но можно создать ярлык на рабочем столе пользователя.
Если клиентская часть Windows 7 и выше, то берется USB token с сертификатом (EKU Client Auth, UPN содержит какое-то значение), настраивается IPSec VPN c авторизацией по EAP-SSL. Автоматом ничего подниматься не будет, но можно создать ярлык на рабочем столе пользователя.
MiB, psvlab
Вопрос в том, откуда этот "определенный" IP возьмется.
Насколько я понимаю, речь идет о Windows Server 2008. Так вот в ней в сравнении с 2003 появилось три прелести в службах терминало. Это шлюз, удаленные приложения, вебдоступ. Почему первой из них не воспользоваться?
Вопрос в том, откуда этот "определенный" IP возьмется.
Насколько я понимаю, речь идет о Windows Server 2008. Так вот в ней в сравнении с 2003 появилось три прелести в службах терминало. Это шлюз, удаленные приложения, вебдоступ. Почему первой из них не воспользоваться?
Если речь идет о защите непосредственного подключения по RDP, то проще ограничить доступ к серверу только с определенных IP-адресов. Это самый действенный способ. Замена порта подключения ничего не даст, потому как это легко отслеживается.
Нормальный пароль от 10 символов разного регистра с цифрами и буквами.
А для жпрс нужно будет делать переподключалку хитрую при обрыве. То есть сервер должен переподключать того же клиента к той же сессии от которой его разорвало. А для этого должно быть все хитро настроено. Хотя и в обычном режиме будет работать но иногда будут глюки (заходишь, а тут рабочий стол или программа другого пользователя и хорошо если не директора)
А для жпрс нужно будет делать переподключалку хитрую при обрыве. То есть сервер должен переподключать того же клиента к той же сессии от которой его разорвало. А для этого должно быть все хитро настроено. Хотя и в обычном режиме будет работать но иногда будут глюки (заходишь, а тут рабочий стол или программа другого пользователя и хорошо если не директора)
Всем здравствуйте. У меня есть несколько удаленных терминальных серверов Windows 2008, работает по принципу белого IP адреса от провайдера + проброса портов. Указана "разрешить подключаться только с компьютеров, на которых работает рабочий стол с проверкой подлинности на уровне сети", пароль сложный. Сколько лет работает и ни разу не было проблем со взломом. Да я вижу попытку соединения, но её дропит сразу и устанешь подбирать пароль. К тому же можно поставить диапазон ip с которых есть доступ. Хотя соглашусь vpn поднятый на unix сервере надежнее.
Кстати если кто-то думает "да нафиг мы кому нужны, кто нас будет взламывать у нас там нифига нет" он глубоко ошибается, смотрю периодически логи на нескольких компах с rdp открытым для интернет юзеров, пытаются брутафорсить реально чуть-ли не каждый день... Везде включаю всегда блокировку учетной записи после нескольких неудачных попыток входа и переименовываю админа.
отсюда
СВОДКА
В данной статье описывается настройка средства блокировки учетных записей клиента удаленного доступа. Клиенты удаленного доступа включают прямой удаленного доступа и клиентов виртуальных частных сетей (VPN).
Возможность блокировки учетной записи удаленного доступа позволяет задать число попыток проверки подлинности удаленного доступа имеет сбой с допустимой учетной записью пользователя, прежде чем пользователю будет отказано в доступе. Злоумышленник может попытаться доступ через удаленный доступ к организации путем отправки учетных данных (действительное имя пользователя, предполагаемый пароль) в процессе проверки подлинности подключения VPN. Словарная атака такой пользователь посылает сотни и тысячи различных учетных данных, используя список паролей, основанный на общеупотребительных словах или фразах.
Преимуществами активации учетной записи, блокировка — это грубой принудительно атак, например к словарным атакам, вряд ли будут успешными потому что статистически по крайней мере, учетная запись блокируется долго перед случайным образом выданный пароль вероятное. Обратите внимание, что злоумышленник может по-прежнему создать к отказу в обслуживании, намеренно блокировке учетных записей пользователей.
Настроить возможность блокировки учетной записи удаленного доступа клиента
Возможность блокировки учетной записи удаленного доступа управляется отдельно от параметры блокировки учетной записи, которые хранятся в Active Directory — пользователи и компьютеры. Параметры блокировки удаленного доступа осуществляется путем редактирования реестра. Обратите внимание, что эти параметры не различают законный пользователь совершит пароль и злоумышленник, который пытается получить учетную запись «поиск».
Администраторы сервера удаленного доступа управления две функции блокировки удаленного доступа:
Число неудачных попыток дальнейшие попытки будут отклоняться.
Как часто счетчик неудачных попыток будет сброшен.
При использовании проверки подлинности Microsoft Windows на сервере удаленного доступа, настройки реестра на сервере удаленного доступа. При использовании RADIUS для проверки подлинности удаленного доступа, настройки реестра на сервере проверки подлинности Интернета (IAS).
Активизация блокировки учетной записи удаленного доступа клиента
Предупреждение: Неправильное использование редактора реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует возможности решения проблем, возникших вследствие неправильного использования редактора реестра. Использование редактора реестра на свой страх и риск.
Счетчик неудачных попыток периодически сбрасывается на ноль (0). Если учетная запись блокируется после максимального числа неудачных попыток доступа, неудачных попыток счетчик будет автоматически сбрасывается на 0 после интервала сброса. Чтобы активировать блокировка учетной записи удаленного доступа клиента и сбросить время, выполните следующие действия.
Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду regedit и нажмите клавишу ВВОД.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteA
Дважды щелкните параметр MaxDenials значение.
Значение по умолчанию равно нулю, что означает, что блокировка учетных записей отключена. Введите число неудачных попыток, прежде чем начать счет будет заблокирован.
Нажмите кнопку ОК.
Дважды щелкните параметр ResetTime (mins) .
Значением по умолчанию является 0xb40, который является шестнадцатеричным 2880 минут (два дня). Измените это значение в соответствии с требованиями безопасности сети.
Нажмите кнопку ОК.
Закройте редактор реестра.
Вручную разблокировать клиент удаленного доступа
Если учетная запись заблокирована, пользователь попробуйте заново войти в систему после блокировки таймера истекло, или можно удалить значение DomainName:UserName в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteA
раздел реестра. Чтобы разблокировать учетную запись вручную, выполните следующие действия:
Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду regedit и нажмите клавишу ВВОД.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteA
Найти значение Имя пользователя: имя домена , а затем удалите записи.
Закройте редактор реестра.
Проверка учетной записи, чтобы убедиться, что он больше не блокируется.
ПоказатьВ данной статье описывается настройка средства блокировки учетных записей клиента удаленного доступа. Клиенты удаленного доступа включают прямой удаленного доступа и клиентов виртуальных частных сетей (VPN).
Возможность блокировки учетной записи удаленного доступа позволяет задать число попыток проверки подлинности удаленного доступа имеет сбой с допустимой учетной записью пользователя, прежде чем пользователю будет отказано в доступе. Злоумышленник может попытаться доступ через удаленный доступ к организации путем отправки учетных данных (действительное имя пользователя, предполагаемый пароль) в процессе проверки подлинности подключения VPN. Словарная атака такой пользователь посылает сотни и тысячи различных учетных данных, используя список паролей, основанный на общеупотребительных словах или фразах.
Преимуществами активации учетной записи, блокировка — это грубой принудительно атак, например к словарным атакам, вряд ли будут успешными потому что статистически по крайней мере, учетная запись блокируется долго перед случайным образом выданный пароль вероятное. Обратите внимание, что злоумышленник может по-прежнему создать к отказу в обслуживании, намеренно блокировке учетных записей пользователей.
Настроить возможность блокировки учетной записи удаленного доступа клиента
Возможность блокировки учетной записи удаленного доступа управляется отдельно от параметры блокировки учетной записи, которые хранятся в Active Directory — пользователи и компьютеры. Параметры блокировки удаленного доступа осуществляется путем редактирования реестра. Обратите внимание, что эти параметры не различают законный пользователь совершит пароль и злоумышленник, который пытается получить учетную запись «поиск».
Администраторы сервера удаленного доступа управления две функции блокировки удаленного доступа:
Число неудачных попыток дальнейшие попытки будут отклоняться.
Как часто счетчик неудачных попыток будет сброшен.
При использовании проверки подлинности Microsoft Windows на сервере удаленного доступа, настройки реестра на сервере удаленного доступа. При использовании RADIUS для проверки подлинности удаленного доступа, настройки реестра на сервере проверки подлинности Интернета (IAS).
Активизация блокировки учетной записи удаленного доступа клиента
Предупреждение: Неправильное использование редактора реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует возможности решения проблем, возникших вследствие неправильного использования редактора реестра. Использование редактора реестра на свой страх и риск.
Счетчик неудачных попыток периодически сбрасывается на ноль (0). Если учетная запись блокируется после максимального числа неудачных попыток доступа, неудачных попыток счетчик будет автоматически сбрасывается на 0 после интервала сброса. Чтобы активировать блокировка учетной записи удаленного доступа клиента и сбросить время, выполните следующие действия.
Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду regedit и нажмите клавишу ВВОД.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteA
Дважды щелкните параметр MaxDenials значение.
Значение по умолчанию равно нулю, что означает, что блокировка учетных записей отключена. Введите число неудачных попыток, прежде чем начать счет будет заблокирован.
Нажмите кнопку ОК.
Дважды щелкните параметр ResetTime (mins) .
Значением по умолчанию является 0xb40, который является шестнадцатеричным 2880 минут (два дня). Измените это значение в соответствии с требованиями безопасности сети.
Нажмите кнопку ОК.
Закройте редактор реестра.
Вручную разблокировать клиент удаленного доступа
Если учетная запись заблокирована, пользователь попробуйте заново войти в систему после блокировки таймера истекло, или можно удалить значение DomainName:UserName в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteA
раздел реестра. Чтобы разблокировать учетную запись вручную, выполните следующие действия:
Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду regedit и нажмите клавишу ВВОД.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteA
Найти значение Имя пользователя: имя домена , а затем удалите записи.
Закройте редактор реестра.
Проверка учетной записи, чтобы убедиться, что он больше не блокируется.
отсюда
RDP достаточно защищенный протокол, и особого смысла защищать его дополнительно нет, если конечно вы не ядерное оружие разрабатыаете.
Из того что нужно делать - переименовать учетку администратора (еще лучше запретить вход под админом), включить требования по сложности паролей для юзеров, не использовать старые клиенты и старые протоколы.
Из того что нужно делать - переименовать учетку администратора (еще лучше запретить вход под админом), включить требования по сложности паролей для юзеров, не использовать старые клиенты и старые протоколы.
Можно попробовать следующее:
1. Сменить порт RDP. Т.к. в 90% случаев все таки сканируют 3389.
2. Настроить маршрутизатор чтобы могли подключаться только определенные ип или определенная подсеть ип.
3. Лучше поставить VPN и заходить через него. Еще в OpenVPN можно попробовать UDP или TCP протокол в настройках.
Если канал реально GPRS то лучше сменить на 3G, если нет возможности, то на GPRS лучше УРИБ. Объем большой и не зависит от скорости интернета на ftp хоть как то можно пропихнуть не большой файл обмена.
1. Сменить порт RDP. Т.к. в 90% случаев все таки сканируют 3389.
2. Настроить маршрутизатор чтобы могли подключаться только определенные ип или определенная подсеть ип.
3. Лучше поставить VPN и заходить через него. Еще в OpenVPN можно попробовать UDP или TCP протокол в настройках.
Если канал реально GPRS то лучше сменить на 3G, если нет возможности, то на GPRS лучше УРИБ. Объем большой и не зависит от скорости интернета на ftp хоть как то можно пропихнуть не большой файл обмена.
На многих железках (встренные фаеры) есть такая фича, что пускает ток с определенных ип, ну либо поднимать впн и через него пропускать рдп, ежели все таки через роутер простенький, то в портмапинге указать другой порт, допустим 3389 - 1111
Лучшая защита - это не светить открытым портом наружу. Так что VPN самая действенная штука.
Есть, кроме того у мелкомягких какой-то специальный для этого продукт. Вроде, даже при настройке терминального сервера про это спрашивается. Точно не помню.
Есть, кроме того у мелкомягких какой-то специальный для этого продукт. Вроде, даже при настройке терминального сервера про это спрашивается. Точно не помню.
1. Организовать доступ через OpenVPN-сервер
2. Сложные пароли у RDP-пользователей
3. Использовать нестандартный порт (можно пробросить на маршрутизаторе)
В случае прямого доступа к серверу (без VPN) на стандартный порт даже со сложными паролями легко нарваться на такой брутфорс, что работа терминальных пользователей станет мягко говоря "некомфортной"
2. Сложные пароли у RDP-пользователей
3. Использовать нестандартный порт (можно пробросить на маршрутизаторе)
В случае прямого доступа к серверу (без VPN) на стандартный порт даже со сложными паролями легко нарваться на такой брутфорс, что работа терминальных пользователей станет мягко говоря "некомфортной"
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот