Забезпечення віддаленого робочого столу для Windows XP

Original http://mobydisk.com/techres/securing_remote_desktop.html

Віддалений робочий стіл, небезпечно

Багато людей використовують функцію віддаленого робочого столу Windows XP Professional, щоб отримати легкий доступ до їх домашніх комп’ютерів. Але відкриваючи підключення до облікового запису адміністратора на вашій системі це дуже небезпечно. Просто відкривши порт на моєму брандмауері я отримав кілька спроб входу в систему, з різних країн, протягом тижня. Безкоштовні інструменти існують, які допомагають хакерам у зломі Windows Remote Desktop з’єднань. На щастя, є кілька простих кроків ви можете зробити, щоб захистити себе:

Віддалений робочий стіл, безпечно

Граничні користувачів, які можуть увійти віддалено

По-перше, тільки дозволяють певним користувачам віддаленого робочого столу доступу. Перейти до панелі управління, а потім система, то на вкладці Remote.

Звідти, включіть “Allow users to connect remotely to this computer (дозволити користувачам віддалено підключатися до цього комп’ютера). Потім натисніть кнопку “Select Remote Users” (вибрати віддалених користувачів).

Ось, додати тільки користувачів, які ви хочете, щоб мати можливість увійти віддалено. Якщо ви супер-безпечний, ви можете встановити це в стандартного запису, і змусити себе бігти як звичайний користувач. Це дуже важкий шлях, щоб запустити Windows, так як багато додатків припускають користувач має права адміністратора, тому я залишаю це рішення за вами.

На жаль для вас, що установка не робити нічого! Ви побачите, що ви все ще можете увійти в систему як будь облікового запису адміністратора. Щоб зробити складно, Microsoft за замовчуванням в найменшій безпечній обстановці можливого, приховуючи цей факт від користувача. Вам потрібно буде йти в інше місце, щоб змінити реальний список. Натисніть кнопку Пуск – Програми – Адміністрування – Локальна політика безпеки. Якщо ви не можете знайти його, ви також можете зробити Start (пуск) – Run (виконати) – введіть “%SystemRoot%\system32\secpol.msc /s” – Ok.

У розділі Local Policies (локальні політики) – Rights Assignment (призначення прав користувача) є лінія, яка говорить “Дозволити вхід в систему через службу терміналів.” І поруч з ним знаходиться “Адміністратори, Користувачі віддаленого робочого столу». Ага! Шкода, що не показують “Адміністратори” в іншому екрані. Двічі клацніть цей параметр і видалити “Адміністратори”. Якщо ви хочете, адміністратор, щоб мати доступ, просто додайте їх в явному вигляді через інший екран.

Встановити блокування облікову політику

Є вже інструменти, які будуть використовувати грубої сили вгадати паролі і увійдіть віддалено. Ви не можете зупинити це, але це може бути зведене до мінімуму шляхом установки політики блокування облікового запису. Якщо хтось намагається вгадати пароль, то вже через кілька припущень вони будуть заблоковані протягом періоду часу. Це може зробити години або дні припускаю стати століть. Це робить його нездійсненний для грубої сили у вашій системі.

З того ж екрану Local Security Policy (локальна політика безпеки), ніж раніше, йти на Account Policies (рахунок політики) – Account Lockout Policy (політика блокування облікового запису).

Порогове значення блокування рахунку: це число невдалих спроб входу, перш ніж користувач блокується від’їзду. Три, як правило, досить вказати хтось намагається зламати.

Скидання лічильника блокування через: для типового будинку системи, встановіть цей параметр, щоб бути таким же, як тривалість блокування облікового запису нижче.

Тривалість блокування рахунку: це, як довго користувач не зможе увійти після кількох невдалих спроб. Навіть кілька хвилин значно зменшити можливість віддаленої атаки грубої сили. Для домашньої системи, більше, ніж кілька хвилин може бути неприємно. Ви можете прийти додому, щоб знайти ваш аккаунт заблокований, через якийсь жартівник здогади паролі. Відрегулюйте настройку на свій страх і толерантності. Установка цього значення в нуль означає, щоб зафіксувати рахунок, поки не буде вручну розблокована.

Щоб вручну розблокувати обліковий запис ви повинні увійти як інший користувач адміністратора (бажано без дистанційного доступу до робочого столу). Потім перейдіть в меню Start (пуск) – Programs (програми) – Administrative Tools (адміністрування) – Computer Management (управління комп’ютером) – Local Users and Groups (локальні користувачі та групи). Натисніть на індивідуального користувача і зніміть прапорець “account is disabled” (облікова запис вимкнуто) прапорець. Потім ви можете увійти на цього користувача.

Вимагати паролі і 128-бітове шифрування

Для сумісності з більш старими, слабкими, менш захищених клієнтів, Windows XP за замовчуванням дозволяє мінімальний чи ні шифрування на віддалених підключень робочого столу. Якщо ви підключаєтеся зі старшим програмним забезпеченням, оновити його. Якщо ви підключаєтеся з клієнта служб терміналів PocketPC, то ця установка не буде працювати для вас, оскільки, що клієнт не підтримує шифрування високою.

Натисніть кнопку Start (пуск) – Run (виконати)- “%SystemRoot%\system32\gpedit.msc /s”, щоб дістатися до Group Policy Editor (редактора групової політики). Я не знаю, як туди потрапити легше, ніж це, так що ви, можливо, захочете, щоб додати значок для нього своїм адміністрування.

Звідси, перейдіть до Computer Configuration (конфігурація комп’ютера) – Administrative Templates (адміністративні шаблони) – Windows Components (компоненти Windows) – Terminal Services (служби терміналів) – Encryption and Security (шифрування і безпека).

Ви можете змінити “рівень шифрування вказано підключення клієнта” з “Не заданий”, щоб “Включено” та “високого рівня”, щоб змусити клієнта використовувати 128-бітну безпеки. Це захищає ваші паролі, а також що-небудь, переданий під час вашого терміналу обслуговування сесії.

Включення “Завжди швидке клієнта для пароль при підключенні” запобігає віддаленого користувача з збереження пароля на клієнтському комп’ютері і уникнути запиту пароля. Збереження паролів, як правило, це небезпечна установка, так як пароль в даний час на іншому комп’ютері, і тому, що вона дозволяє користувачеві забути.

Змініть порт TCP

Ви можете переміщати порт служб терміналів від 3389 до іншого порту, змінивши ключ реєстру на
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

Потім вам потрібно буде вказати порт при підключенні до системи. Зв’язатися з чимось на зразок “my.computerathome.com:1234” замість “my.computerathome.com”
IP-адреса білий список

Брандмауер Windows дозволяє обмежити IP адреси, які мають доступ до віддаленого робочого столу. Щоб зробити це, відкрийте Панель управління і запустите брандмауер Windows. Виберіть вкладку Exceptions tab (винятки) та переконайтеся, що “Remote Desktop” (віддалений робочий стіл) перевіряється.

Натисніть кнопку “Edit” (змінити), і ви побачите список портів TCP. Брандмауер Windows припускає, що віддалений робочий стіл лежить на порт 3389. Якщо ви змінили номер порту, потрібно буде скасувати цей екран, а замість цього натисніть кнопку “Add Port” (додати порт) і створити запис з номером порту, який ви використовували.

Натисніть кнопку “Change Scope” (змінити область). На цьому екрані, ви можете обмежити до локальної мережі або до певного набору IP-адрес.

Завдяки Ніку за цю раду!

Запобігання MITM атаки

Віддалений робочий стіл в зашифрованому вигляді, що робить його більш безпечним, ніж багато спрощених реалізацій VNC. Тим не менш, без додаткової безпеки віддаленого робочого столу є вразливим для атаки людина-в-середині, бо не використовувати сертифікат для перевірки автентичності сервера, як SSL/SSH робить. Це означає, що якщо ви підключите до всієї системи через віддалений робочий стіл, немає ніякої гарантії, що розмова не записується, і ваші паролі не гарантував безпечна, хоча сеансу шифрується.

У Windows XP, немає вбудованої підтримки для безпечних сертифікатів в віддаленому робочому столі. Тому, щоб закрити цю діру в безпеці необхідно використовувати SSH тунелювання через з’єднання VNC. Однак Windows Server 2003 надає розширену версію служб терміналів, який підтримує аутентифікацію за допомогою TLS безпеки. Для цього, щоб працювати, ви повинні використовувати оновлену версію програмного забезпечення клієнта Remote Desktop. Ви також повинні налаштувати Windows Server 2003 для використання сертифіката, як описано у статті бази знань Microsoft.

Монітор лог-файлів

У вікні перегляду подій журнали невдалих спроб входу і блокування облікових записів. Ви можете періодично перевіряти це, щоб побачити, якщо хтось намагається увійти. Якщо ваш брандмауер веде журнали (Windows Firewall робить), то ви можете використовувати їх, щоб бачити, коли хтось намагається підключитися.





Most popular articles:


  • Symbols Collection

  • Clipart Library

  • Free Cliparts