web-dev-qa-db-ja.com

RDP-アクセスセキュリティ

RDPサービスへの攻撃から身を守ることについて質問があります。

私はすでに適切な構成を行っていることに注意してください。

  • 接続にローカルユーザー(管理者ではない)を使用しています
  • 管理者グループはリモートデスクトップユーザーから除外されています
  • rDPサービスポートが変更された

ローカルグループポリシーエディター-リモートデスクトップサービス

  1. セキュリティ:

    • 暗号化レベル:高、
    • 適切なRDPセキュリティ層が有効になっている、
    • ネットワークレベルの認証が有効

  2. 接続:
    • 限られた数の接続:1

  3. セッションのタイムアウトを設定しました

ご覧のとおり、これらは標準設定ではありません。さらに、Eset Internet Securityを実装しました。 RDPサービスをより安全に保護するために、私とあなたに何を心配していますか。

イベントビューア(Win7Pro)で、頻繁にエラーに気づきました。No。56 TermDD:サーバーセキュリティレイヤーがプロトコルストリームでエラーを検出し、クライアントを切断しました。クライアントIPアドレス:xxx.xxx.xxx.xxx

私にはそのようなエラーがたくさんあります。誰かがRDPサービスにアクセスしようとしています。少し前にRDPサービスポートを変更しましたが、役に立ちませんでした。

さらに:

ウイルス対策ファイアウォールで、私は数十回の試みを観察しました: "アドレスの一時的なブラックリストの脆弱性を悪用します(着信攻撃汎用)。

このような攻撃に対してRDPサービスをさらに保護するにはどうすればよいですか? RDPGuardプログラムについて聞いたことがあります-それが効果的かどうかという問題です。

1
mlik

RDPサービスを直接(VPNまたはRDPゲートウェイなしで)インターネットに公開することはありません。過去には、プロトコルの多くの脆弱性が発見され、悪意のある人物によって悪用されていました。問題は、Remotedesktop/Terminalサービスを実行するには高い特権が必要なことです。 (再度)RDPサーバーに深刻な脆弱性がある場合、RDP設定もユーザーのパスワードや特権も役に立ちません。

1
andaris

経験した攻撃はおそらく、既知のポートとプロトコルで脆弱なターゲットを特定するためにネットワークをスキャンするゾンビノードによるものです。ネットに入ると常に定数になります。ポートを変更すると、これらの自動スキャナーの大部分がカットされました。アンチウイルスは、スキャンに含まれるIPのリストを作成し、受信したプローブに基づいてそれらを識別します。 RDPプロトコルは特定のパスワードで保護されていても認証攻撃を受けやすいので注意してください。実際には、知らないうちに自分自身を認証することができます。関連するパッチをインストールするには、システムを頻繁に更新することが重要です。私の意見では、サービスは示されているように構成することでうまくいきました。 VPNを使用してより平和にする以外に解決策はありません。

0
lone