Салом КулХацкер!
В связи с массовыми переходами на «удаленку» выросли и риски. Поэтому, стоит задуматься о мерах безопасности.
1. Меняем порт. Он прописан в реестре, и изменить нужно на какой-то из верхних (пусть будет 65123). Переходим в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и изменяем portnumber
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-72.userapi.com%2FMfDzMqrSj1D-JysbMgafnCqCy0kD5sYmFzeOyg%2F4XET1bqN0fc.jpg&hash=5abe5a2e89abccf80406b3d8a929f2fd)
2. Пароль. Он должен быть сложным и не иметь ассоциаций с пользователем и его окружением.
3. Открываем консоль gpedit.msc и переходим в «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов»
- в папке «подключение» много интересных параметров, рассмотрим некоторые из них:
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-41.userapi.com%2FbKsw0hqotbr97SmJvIm2au8vGn_kMtUGbd-aGw%2Fc9HocMwHNSs.jpg&hash=02a885d533accbe4866dd53aa533d491)
«ограничение на количество подключений». Если к машине подключается определенное количество клиентов, то разумнее выставить этот параметр.
«выбор транспортных протоколов RDP». По умолчанию, rdp работает на udp протоколе, но его можно также использовать на tcp.
- В папке «безопасность» также обязательно должно быть включено «всегда запрашивать пароль при подключении»
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-40.userapi.com%2FUnXSs9AJ3Zn5t3aaTYIsu5o9DsHzRGL7e2Bw4A%2FLIti9YvL9hI.jpg&hash=ee2c6d451c094a51634e802652273ca5)
- В папке «ограничение сеансов по времени» настраивается на усмотрение администратора
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-60.userapi.com%2F5gR4bJsc3L4_K6QewUzKNET5sVDC2qb5i8c5Kw%2Fk9HasX8UPkE.jpg&hash=01729d8ad57a3ca02589216bbec16f1b)
- Не стоит сохранять пароли от сервера на стороне клиента. К клиентскому компьютеру могут получить доступ, и через него к самому серверу. Поэтому выключаем сохранение паролей и обязуем пользователей вводить их каждый раз с помощью настройки «запрет сохранения паролей» и «запрашивать учетные данные на клиентском компьютере»
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-72.userapi.com%2FX361n-iC_KBO5r2RrtCnBDe2lCsAx-0aNcIBGA%2FGTqSieejA5w.jpg&hash=65ab10c112660e010a7dfa9014708080)
4. Добавим пользователя. Разумеется, для теста взят администратор
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-8.userapi.com%2FsQN7N2FcoldQh5_6Kdt_9__H1v1HlCXUNBwt-w%2FOllK4mfK6Fg.jpg&hash=0b665daebcde43febea9bc4df35da642)
5. Файервол. А если конкретней, то грамотная его настройка. Необходимо разрешить подключение к нашему серверу только с определённых айпи адресов, а все остальные – запретить. В качестве примера рассмотрим outpost firewall. Приложение, которое будет принимать запросы из вне, это svchost.exe. Для него и напишем соответствующее правило. У меня в правиле стоит протокол tcp, потому что я использую rdp по tcp
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-3.userapi.com%2FDd0RwI1qDFQ67T8LqhJFKnRLgxq5pZQ66MvE-g%2Fx8pKNBdXcXQ.jpg&hash=eaa384f26d7f61d4a99b8c8c22faefaa)
54.38.59.195 – айпи адрес, с которого мы подключаемся к нашему серверу. Также нужно написать правило, запрещающее любой входящий трафик и поместить его в самый низ
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-6.userapi.com%2FXo0rAetj4dP9rUdB9Uyx_N7IayDN0cL2Dq40-Q%2FqudwEDb7S3Q.jpg&hash=2608da1cfd90a3cea38c271e13daf91c)
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-23.userapi.com%2FEw1q0-UP9gILgN9vUh0K-Q5RSZlCyEJcN2f6ZQ%2FVwjsWX38FPs.jpg&hash=e3b389f26244be7ec43b65c5cbce8936)
Также стоит подумать о том, если файервол будет по какой-то причине отключен на сервере или к клиентской машине получит доступ злоумышленник. И возможно, он сможет подобрать пароль к серверу. Для такого случая нужно на сервере настроить политику безопасности блокировки учетной записи. Заходим в secpol.msc. Здесь можно выставить количество неудачных попыток входа и время блокировки учетной записи
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-30.userapi.com%2FCQ504hFIS8sgb75nwom8fcC7Bbem78vbtCgY9w%2FfKiR852N7rA.jpg&hash=2450bcf1bebf380f075357cd915ca7f8)
После редактирование политик необходимо перезагрузить сервер. Теперь переходим на клиентскую машину и попробуем подключится к серверу
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-43.userapi.com%2F_tTubygFk9Faix1_vSeugRLucBLvAvTG_SgfjA%2FSdqZaEDz4ZE.jpg&hash=18e2aaeb76127a9bd1645d7b324c8200)
И у нас не получится это сделать, ведь этот сервер находится за NAT. Посмотрим, что скажет сайт спид-тестер
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-25.userapi.com%2FBS6I5ofG7LoWxJhIJNEx6861r72JHACOPGnkpQ%2F3oxlrnnCLzg.jpg&hash=758c933bd770ca138884499c620347f8)
Заходим на роутер и пробрасываем порт. Из-за разновидности веб-интерфейса эта опция может выглядеть по-иному. Но она будет находится в разделе NAT
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-44.userapi.com%2FsHsaoCmqbcEMiWsGnyySAYa13RCDW6Nbm36EVQ%2F7_sn2kaVqGs.jpg&hash=ecf8e50c775ae5832a94c488fcdaae26)
192.168.1.124 – айпи адрес виртуальной машины на которой и находится сервер с rdp. То есть, пакет придет на порт 65123 роутера, и сам роутер перенаправит его на 192.168.1.124:65123.
Перезагрузим роутер, чтобы изменения вступили в силу. Проверим еще раз сайт спид-тестера
![[IMG]](/proxy.php?image=https%3A%2F%2Fsun9-9.userapi.com%2FVZ9A0xKznQd64KOllzMZCZf2sbcol3eO70gxLw%2Fq6PUclpcz1Q.jpg&hash=4e10be5bb93930d3c41329743c4f064d)
Теперь подключаемся к серверу. И если все сделали правильно, то увидим окно ввода логина/пароля к доступу на сервер. Еще интересной особенностью использования rdp по tcp, является перенаправление этого трафика на прокси. Даже через тор можно пропускать, только это влечёт за собой падение скорости и задержки.
С вами был ФСБ! Если тебе понравился мой годный хакерский контент.Подписывайся на мой телеграм канал Hackers Academy -
В связи с массовыми переходами на «удаленку» выросли и риски. Поэтому, стоит задуматься о мерах безопасности.
1. Меняем порт. Он прописан в реестре, и изменить нужно на какой-то из верхних (пусть будет 65123). Переходим в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и изменяем portnumber
2. Пароль. Он должен быть сложным и не иметь ассоциаций с пользователем и его окружением.
3. Открываем консоль gpedit.msc и переходим в «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов»
- в папке «подключение» много интересных параметров, рассмотрим некоторые из них:
«ограничение на количество подключений». Если к машине подключается определенное количество клиентов, то разумнее выставить этот параметр.
«выбор транспортных протоколов RDP». По умолчанию, rdp работает на udp протоколе, но его можно также использовать на tcp.
- В папке «безопасность» также обязательно должно быть включено «всегда запрашивать пароль при подключении»
- В папке «ограничение сеансов по времени» настраивается на усмотрение администратора
- Не стоит сохранять пароли от сервера на стороне клиента. К клиентскому компьютеру могут получить доступ, и через него к самому серверу. Поэтому выключаем сохранение паролей и обязуем пользователей вводить их каждый раз с помощью настройки «запрет сохранения паролей» и «запрашивать учетные данные на клиентском компьютере»
4. Добавим пользователя. Разумеется, для теста взят администратор
5. Файервол. А если конкретней, то грамотная его настройка. Необходимо разрешить подключение к нашему серверу только с определённых айпи адресов, а все остальные – запретить. В качестве примера рассмотрим outpost firewall. Приложение, которое будет принимать запросы из вне, это svchost.exe. Для него и напишем соответствующее правило. У меня в правиле стоит протокол tcp, потому что я использую rdp по tcp
54.38.59.195 – айпи адрес, с которого мы подключаемся к нашему серверу. Также нужно написать правило, запрещающее любой входящий трафик и поместить его в самый низ
Также стоит подумать о том, если файервол будет по какой-то причине отключен на сервере или к клиентской машине получит доступ злоумышленник. И возможно, он сможет подобрать пароль к серверу. Для такого случая нужно на сервере настроить политику безопасности блокировки учетной записи. Заходим в secpol.msc. Здесь можно выставить количество неудачных попыток входа и время блокировки учетной записи
После редактирование политик необходимо перезагрузить сервер. Теперь переходим на клиентскую машину и попробуем подключится к серверу
И у нас не получится это сделать, ведь этот сервер находится за NAT. Посмотрим, что скажет сайт спид-тестер
Заходим на роутер и пробрасываем порт. Из-за разновидности веб-интерфейса эта опция может выглядеть по-иному. Но она будет находится в разделе NAT
192.168.1.124 – айпи адрес виртуальной машины на которой и находится сервер с rdp. То есть, пакет придет на порт 65123 роутера, и сам роутер перенаправит его на 192.168.1.124:65123.
Перезагрузим роутер, чтобы изменения вступили в силу. Проверим еще раз сайт спид-тестера
Теперь подключаемся к серверу. И если все сделали правильно, то увидим окно ввода логина/пароля к доступу на сервер. Еще интересной особенностью использования rdp по tcp, является перенаправление этого трафика на прокси. Даже через тор можно пропускать, только это влечёт за собой падение скорости и задержки.
С вами был ФСБ! Если тебе понравился мой годный хакерский контент.Подписывайся на мой телеграм канал Hackers Academy -
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
А также на мой профиль HHIDE