Здравствуйте
подключаются клиенты по RDP к терминальному серверу
второй раз за месяц приходит шифровальщик, ну и т.д.
антивирус не реагирует (Avast), у пользователей нет админских прав,
порты изменены, защита от подбора паролей включена (при неправильном логине запрет на 30 мин реконнекта)
в чем может быть проблема и как от нее избавиться
Буду признателен за подробный разжеваный ответ :)

KIS

(0)Закрыть доступ из вне..
А если необходимо, то юзать VPN

Или извне? :)

(0)
на терминале поди, есть доступ к почте, вэбсайтам ?

+ еще и поди, диски клиента примапливаются ?

(0) Проверьте всех пользователей RDP. Возможно какой то пользователь без пароля (Какой нибудь тестовый). По нему и ходят. Часто у жмотских на админа контор именно это было причиной.

модераторы, перенесите тему в админ

(6) пользователь без пароля не сможет зайти по RDP.

(8) Еще как сможет. Если в политике правило настроено.

(4) браузеров нет, IE снесен, почта только на отправку из 1с

(0) Все здесь : "подключаются клиенты по RDP к терминальному серверу".
Не нужно РДП выставлять наружу. Если без этого совсем никак - см. (2).

"второй раз за месяц приходит шифровальщик"
откуда приходит?

+ (11) Как временная мера "длянасейчас" - всем изменить пароли. Перед этим включить политику "требовать безопасный" или что-то в этом духе.

(10) диски маппятся ?

(12) мне вот тоже интересно, откуда он приходит
и как сделать чтобы он не приходил

(14) буфер обмена

На рдп с рабочим столом юзвери заходят ? Поди, мс оффис еще есть ?

(14) Сейчас оно уже не обязательно. Сейчас шифровальщики умеют доставать UNC. И проверять к ним права. Мапить необязательно.

вопрос собственно - подобрали пароль ? если да то как ?
пользователи занесли ? если да то как ?
пролез каким-то образом сам (встроеные службы и т.п.) ?
подбор пароля исключаю (вероятность -> 0)
остается раздолбайство пользователей ?
ну что еще ?

(19) то что у тебя в систему уже сидит троян, давно и качает шифровальщика переодически.

безопасность недешевое удовольствие...

если win2008 - пиши пропало

Аваст говно, хуже только нод.
Ставь касперского или симантек и проверяй спец утилитами от троянов руткитов

белый список действий только поможет
антивирус удалить

Думаю RDP тут не причем. В (20) все правильно написали.

(19) Посмотри чьи файлы зашифрованы. То что я видел - шифруют файлы в папках с полном доступом для группы "Пользователи". И файлы того пользователя под учеткой которого отработал.
Вот такой примерно расклад защитил файлы с доступом "для всех"
"Папка Общие" (доступ только админу. Он же владелец)
  "Папка Пользователя 1" (доступ только Пользователю 1)
  "Папка Пользователя 2" (доступ только Пользователю 2)
  ...
  "Папка Всем" (доступ группе "Пользователи")
Обычного доступа к папке "Папка Всем" не получается. В смысле через "Компьютер"-"Диск Д"-... И файлы остались не шифрованными.
А вот папки у которых доступ для группы "Пользователи" от корня те пошифровались.

(20) нет, система переинсталена после "первого прихода" с нуля
грешу еще на компы пользователей, но после массовой проверки
двумя антивирусами (Avast) + (DrWeb) ничего нет, да и пользовательские компы все целы
(21) переведи - что нужно купить и куда поставить
(22) а что не "пиши пропало" ?

(26) такое чувство что он находит первую учетку с админскими правами - прибивает ее и уже от нее работает
как он это делает х.з.

(28)
1. Отключи учетку "Администратор", "Administrstor", "Admin"...
2. Заведи админу отдельную учетку .
3. Поменяй админам пароли.
4. Не работай под админскими учетками сам и не давай никому.
5. Проверь права учетки USER1S.
6. Проверь из-под кого запускается агент сервера 1с. Очень часто из-за неумения настроить всякие разные приблуды ему дают запускаться из=под системной учетки.

(28) "он находит первую учетку с админскими правами"
Не находит. Кто-то с такими правами работает. И собственноручно запускает "запускателя". "Запускатель" это еще не сам шифровальщик. И не делает запрещенных или опасных действий. Оно проверяет свои права и если может создает себе админскую учетку. В профиль "своей" учетки прописывает уже запуск собственно шифровальщика.

У клиента, 4- раз пролезал шифровальщик, систему каждый раз ставили с нуля, проверка клиентов, их не много, ничего не находили, порт меняли, не помогло, помогло - смена внешнего IP адреса, походу когда один раз комп попадает, ip пишется в базу и потом идут атаки всякими разными способами

(31) атаки идут всегда, на любой IP

+(30) Естественно отправляя логи всех своих действий и окружения (IP, имя, пароль...) на сайт роботу. Робот уже потом зайдет с новой учеткой. И выполнится команда шифрования.

Кстати смена "обычного" порта РДП 3389 на другой уже давно не дает никакого результата. Робот пробивает все возможные порты на общедоступном ресурсе и ждет ответ. Шаблон ответа службы РДП ему известен. На каком порту ему отзовутся шаблоном тот и используется для дальнейших атак. Не проверял. Но думаю в течении получаса порт РДП вполне можно определить.

(32) Значит МАС адрес?

В общем вывод такой. Сделан спецами уже давно. Доступ по РДП - зло. Будет взломан всегда. Меняется только количество потраченного времени.

(34) вот я и думаю поставить бы фильтр по MAC, но нашел это только у WiFi подключения, у WAN - нет
(35) ну а как работать по удаленке ? Web ?
(33) кроме порта ведь надо еще логин - пароль подобрать ?

(31) + поменяли по случаю и роутер, атаки прекратились, гдето читал что на d-link и tp-link эту гадость можно в прошивку загнать, но это не точно

(36) используют уязвимости системы, а не подбирают пароль к админу

(38) но ведь работают же все как-то, иначе бы это повсеместно было, а то у нас полгорода на РДП, а проблемы только у нас, обидно даже как-то

(39) Меняйте роутер, ip, порт, ну и выше уже написали, моему клиенту только это помогло (я там не админ, просто программист)

(40) Сделано

Переходить на Linux уже предлагали?

Принудительно поменять пароли клиентам уже предлагали?

(0) у нас подхватили от пользователя с паролем в стиле 123. Ставь всем 10 значные сложные пароли и выдавай сам пароли.

+(44) и запретить изменять пароли - глазом не успеешь моргнуть, как опять пароли "123" себе понаустанавливают.

(0) VPN рассмотрите. И периодически либо переиздавайте сертификаты, либо меняйте pre-shared key.

(39) значит, вы что-то делаете не так. Либо политика паролей плохая (меняют на простой), либо сервер устаревший, либо другие админы используют VPN.

(42) как на линуксе реализовать РДП + 1с ?
при утере-краже-подборе паролей чем спаcет Линух
я так понимаю нужно копать в сторону VPN ?
а аутентификацию пользователей на уровне шлюза-firewall только по IP или  может ...
(45) как они могут поменять пароли на RDP юзерах ???

(47) "либо сервер устаревший" - кстати да. Какой сервер и как часто обновляется?

(0) Есть такая старая технология, называется port-kocking. Если кратко, то ставишь файрвол, который блокирует доступ всем на РДП. И только если придут подряд пакеты с одного ИП-адреса на определенные порты (например 2227, 33560, 7032) , то этому ИП предоставляется временный доступ к РДП. Все остальные идут лесом. Единственное неудобство - это то, что перед входом на РДП надо запускать knocker, который и откроет доступ.

(50) а модельку маршрутизатора ? или это программный ?

(51) если немного погуглить, то можно найти как это сделать на микротике...

это приложение на сервак,которое правила firewall переключает.
можно пользователя еще просить на веб-страницу зайти,где он пароль рдп получает,каждый раз новый.

(9) Это надо быть совсем больным на голову чтобы это включать специально.

(35) "В общем вывод такой. Сделан спецами уже давно. Доступ по РДП - зло. Будет взломан всегда."
А мужики-то не знают!
Взломать можно всё. Главное, обеспечить достаточно сложный взлом, что бы он не окупился.
У меня уже лет десять несколько городов и куча мобильных пользователей ходит на RDP. RDP спрятан за VPN с хорошим длинным паролем, на виндовом сервере настроен белый список приложений, которые можно запустить, на брандмауэре настроен белый список сайтов, на которые можно из RDP выйти. Проблем нет.

а если веб сервер поднять ?
почему многие на РДП сидят если это так плохо ?

(56) Ваши конфигурации на 100% обеспечивают функционал через веб ??

(56) если конфы на УФ - поднимай веб сервер.

(56) Обычные формы через веб не ходят, поэтому для УТ10 и УПП не вариант. А оно еще много где...

(48) >как на линуксе реализовать РДП + 1с ?

1С давным давно под линукс работает, RDP через xrdp
https://habr.com/post/325132/

(60)+ Я кстати rdp на линуксе настраивал в тестовых целях, оно вполне работает со своими особенностями типа штрифтов и прочего.
Чуть дольше вход (но у меня машинка под сервер была говно) для клиентов, затем в работе тормозов нет, стандартный виндовый клиент.

(61) при краже - утере паролей пользователями (от RDP) он ломается ?
или там настраивается защита от кривых действий пользователей ?
а с удаленными принтерами нет проблем?
а то я пока через EasyPrint не настроил - забодался диспетчер печати перезапускать

(55) Это теперь так модно? Дать простор тараканам в своей голове и свалить на чужую?
Речь шла о непосредственном доступе по РДП из инета. В случае доступа поверх ВПН сам РДП в инет не смотрит.
Я конечно понимаю, что некоторым нужно разжевать до последней запятой. Но не думал, что настолько. (

(62) С пробросом принтеров и оборудования это отдельный вопрос с rdp на линуксе ))

С принтерами обычно не заморачаваются и либо через pdf-ки (которые "печатаются" на сервере и пересылаются куда нуна) или через VPN и сетевой принтер, они под линуксом прекрасно расшариваются/подключаются.

По пробросу портов для сканеров и прочего ТО тоже есть решения.

и, это.. насчет ВПН... чем плох штатный виндявый ВПН, что ставят всякие другие..?

вот жеж вы жмоты - нет чтобы платить вымогателям в биткоинах и тем самым поддерживать его курс на должном уровне - вы придумываете все новые и новые способы борьбы с ними ...

(65) отличная штука, вопрос как ей не дать угробить сервер терминалов

(65) извиняюсь, с РДП попутал :)

(65) ну, во-первых, поточное шифрование трафика чем-то вроде AES256 это на проц нагрузка. И при хорошем трафике довольно нехилая. Лучше на это отдельную железку с аппаратной поддержкой такового. Во-вторых, настройка IPSec на винде штука довольно эротичная. Не всем нравится. А PPTP, который более приятен в настройке, морально совсем стар и не особо взломостоек.

поэтому если нет спецжелезки, то чаще всего клоны OpenVPN предпочитают нежели чем стандартное

но проще всего взять Mikrotik и не париться. L2TP+IPSec настраивается там достаточно легко и решает процентов 95 возникающих вопросов небольшой конторы.

(71) спсб

(49) +1 Обновы актуальные на сервере установлены? Возможно используются эксплоиты