RDP_Vulnerability

Набор рекомендаций для защиты сервера, который открыто смотрит в интернет. Материалы надёргивать буду с разных источников и группировать в список рекомендаций для самого себя.

1. Настройте lockout policy. По умолчанию Windows-сервер не защищен от брут-форса — атаки через подбор пароля. Хакер может создать, например, тысячу RDP-соединений (ака «Удаленный Рабочий Стол»), пробуя разные логины/пароли. Или терзать ваш FTP-сервер бесконечными подключениям. Именно поэтому стоит настроить «lockout» — временную блокировку пользователя после нескольких неудачных попыток.

Идем в «Start — Run — secpol.msc — Security Settings — Account Policies — Account Lockout Policy». И ставим, например, «5 попыток» и «5 минут» — это заблокирует пользователя на 5 минут после 5 неудачных авторизаций.

Также, стоит попробовать и такой вариант: http://infostart.ru/public/238981/

2. Не используйте стандартные порты. Если кроме веб-сервера вам все-таки нужно что-то выставить «наружу» — например, терминальный сервер (для того же RDP) или SQL-сервер — используйте нестандартные порты. Какие-нибудь идиотские значения, вроде 15089.

Порт терминального сервиса (тот самый «Удаленный рабочий стол») меняется в реестре вот тут: «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber» (не забудьте открыть этот порт на файрволле и перезапустить RDP-сервис).
Порты SQL Server’а меняются в утилите «SQL Server Configuration Manager» — «Network Configuraion» — «Protocols for [имя сервера]» — «TCP-IP» — right-click — «Properties».

3. Не использовать стандартные имена учётных записей. С рабочих серверов долой всяких «Администратор», переименовываем в Повелитель например 🙂

 

Источники: http://habrahabr.ru/post/116769/

Изображение с сайта: http://www.dome9.com/

 

One Comment

  1. Pingback: » Новый сервер, настройки применяемые сразу же

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

 

 

Theme by HermesThemes

Copyright © 2013-2015 Сумашедшие записки. All Rights типа Reserved