Имя: Пароль:
IT
Админ
Как узнать IP
0 Klesk
 
24.12.18
05:45
идет подбор пароля на терминальный сервер (через нное количество раз учетка, если есть то блокируется), но если раньше было хотя бы Admin, Админ, Buh001, ZP то сейчас какой то бред SEX_SHOP, БА_НЯ, С_ПА, S_EX (без нижнего дефиса), в журнале windows не вижу IP подборщика, это можно как то настроить? (windows server 2012 std)
1 Смотрящий
 
24.12.18
07:45
(0) У тебя терминал торчит наружу голым задом. Прикройся впн
2 MyNick
 
24.12.18
07:49
(1) впн придумали трусы.
Ведь вычислить по IP местонахождение, прийти и набить мордасы - гораздо круче.
3 zak555
 
24.12.18
07:51
В журнале пишется
4 zak555
 
24.12.18
07:51
(1) ВПН не торчит голым задом?
5 zak555
 
24.12.18
07:52
Ставь пароли несловарные в 26 знаков и не обращай внимание
6 JeHer
 
24.12.18
07:53
Интересно, 1С: Бордель всё-таки зарелизили? Откуда такой набор логинов? )))
7 Мелифаро
 
24.12.18
07:54
(4) Нет.
8 Sserj
 
24.12.18
08:14
(4) Он специально задуман для того чтобы торчать и у него бронированные ягодицы :)
9 NorthWind
 
24.12.18
08:40
(8) ну да... вскрыть какой-нибудь IKE у Cisco - посмотрел бы я на это...
10 Повелитель
 
24.12.18
08:42
(0) Достаточно поменять порт 3389, на любой другой.
Таких случаев будет в разы меньше. Проверил не практике.
11 ShAV
 
24.12.18
08:47
(0) SEP. Поставил и забыл.
12 Автоном
 
24.12.18
11:04
(0)Посмотреть на роутере, или в журнале винды.
Если есть возможность - настроить вход только с разрешенных.
Если пароли нормальные и безопасность RDP настроенна корректно - не взломают, не стоит беспокоится.

Если есть случаи блокировки учетки -  можете в VPN завернуть, можете порт поменять, на нестандартных поменьше брутят, можно имя учетки усложнить.
13 Автоном
 
24.12.18
11:10
(2) VPN чисто для RDP это уж слишком.
Безопасность нормально настраивается и без него.

Ну и торчит как правило сервер не голым задом, а за железным файерволом и NAT - просто проброшен нужный порт.
14 JeHer
 
24.12.18
11:16
(13) не забывайте, что зараза может прилететь по почте, пофестивалить в локалке и ломануться наружу.
15 ShAV
 
24.12.18
11:18
(14) от этого нет защиты кроме как грамотные юзеры
16 Garikk
 
24.12.18
11:25
(15) от этого есть изолированная от инета локалка
17 Автоном
 
24.12.18
11:28
(14) Ну это уже другой вопрос, не касающийся RDP.
VPN штука полезная, и иногда без нее никак, но конкретно для RDP ее городить не обязательно.
18 Klesk
 
24.12.18
11:35
да, порт другой, торчит конечно наружу, но пароль надежный и учетка блочится, если 7 раз неправильно набрали пароль, сервер не основной, думал насчет впн, но пока вроде за 10 лет и так нет проблем.
К сожалению в отказе доступа не видно инфы по IP:
Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    Код входа:        0x0

Тип входа:            3

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        СПА
    Домен учетной записи:        

Сведения об ошибке:
    Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
    Состояние:            0xC000006D
    Подсостояние:        0xC0000064

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x0
    Имя процесса вызывающей стороны:    -

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Сведения о проверке подлинности:
    Процесс входа:        NtLmSsp
    Пакет проверки подлинности:    NTLM
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
19 Автоном
 
24.12.18
11:49
(18) А у вас точно включено - Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети» ?
20 uno-group
 
24.12.18
11:55
Диспечер задач-производительность-монитор ресурсов-сеть
Процес termsvcs в удаленных адресах находиш левый и блокируеш подсеть
21 uno-group
 
24.12.18
12:00
Cyberarms Intrusion Detection Admin в демо режиме блокирует по одному ип в сутки. При многочисленных отказах, но надо внутренние компы с левыми запросами на сервак не ломились, доступы к левам шарам, компы не в домене и т.п.
22 kauksi
 
24.12.18
12:01
ставишь примитивную бесплатную ids https://cyberarms.net/media/1022/cyberarmsintrusiondetectionsetupx64_220.zip
, настраиваешь политики, доверенные ip, и все китайские подборщики идут в баню
23 kauksi
 
24.12.18
12:01
(21) она теперь бесплатная и крякать не надо
24 Автоном
 
24.12.18
12:37
(20) А как узнать что он левый?

Если есть возможность отличать левые от нелевых - тогда разрешить вход только  с указанных IP.
25 Автоном
 
24.12.18
12:39
(22)Что это за шняга? Чего делает, то?
Политики и доверенные IP и в винде неплохо настраиваеются - нафига левый софт?
26 Nyoko
 
24.12.18
13:16
Ограничить количество разрешенных ошибочных попыток входа.
    (Если ты не пьян — то 3х раз тебе хватит, чтобы понять, что клавиатура не на том языке и не на том регистре.)
    Ограничить время для этих 3х попыток.
    (Можно ведь, 3 раза за неделю, а можно — 3 раза в секунду, да еще и многопоточно. И потому, как никто из кулхацкеров не тычет в клавиатуру одним пальцем долго выбирая букву, то там идет приличный трафик, который за 10 минут, которые определили разработчики успеет перебрать несколько сотен, пару тысяч комбинаций.)
    Установить время блокировки для входа в случае, если ты пьян, или если — ты — это не ты.
    (По умолчанию — 3 минуты ни кого не огорчат. Выставим пол-часа. Пусть устанут ждать.)
27 Klesk
 
24.12.18
13:29
политика то настроена на блоч, хочется узнать с каких айпишников ломятся с такими стремными логинами, ограничивать по айпи не вариант, сотрудники отдыхать в турцию едут и т.п.  Вопрос почему в винде айпи удаленного компа не видно.
28 Klesk
 
24.12.18
13:31
(27) хотя бы чтоб заблочить эти IP
29 Василий Алибабаевич
 
24.12.18
13:55
(27) "почему в винде айпи удаленного компа не видно"
Патамучта на комп внутри локалки заходит маршрутизатор. Вот он знает за IP удаленного. Нужно смотреть логи файрвола маршрутизатора. Какие IP в это время ломились в локалку по порту RDP. Только ничего оно тебе не даст. Тысячи их.
30 SeriyP
 
24.12.18
14:01
дополнительно отключите в фаейрволе возможность пинговать ваш IP (ICMP трафик)
31 Автоном
 
24.12.18
14:18
(27) Сервер за NAT'ом роутера.
32 Sserj
 
24.12.18
14:25
Кажись считающие что RDP наружу с хорошими паролями и блокировщиками учеток никогда не встречались с проблеммой в реальности :)
Никто не напомнил что при входе по рдп происходит полная инициализация сеанса и когда начинают настойчиво подбирать этих сеансов может несколько сотен возникать, да они быстро убиваются но тут же появляются новые. Вплоть до полного отказа системы.
33 Бешеный заяц
 
24.12.18
15:05
(0) на фейволе поставь с каких IP можно соединятся,забей диапазон IP провайдеров с которых пользователи соединяются.Вероятность что долбоящер с реального IP разрешенного провайдера долбится будет низка
34 uno-group
 
24.12.18
15:14
(29) 2003 сервер в той же ситуации пишет ип в лог.
35 sitex
 
naïve
24.12.18
15:15
(0) А что командная строка уже не в почте , netstat -a  и т.д. Настрой Брандмауер на подключение диапазона IP которые подрубаются твои юзеры.
36 sitex
 
naïve
24.12.18
15:15
(35) не в почете*
37 Автоном
 
24.12.18
15:17
(35) И сидеть ждать когда боты начнут ломиться? Это уж совсем админу нечего делать если.
38 uno-group
 
24.12.18
15:18
(24) Не подключенные сеансы светятся серым. Пробить ИП откуда он и забанить если левый. Просто банишь непонравившиеся и смотришь пропал поток подбора паролей или не. если нет разбраниваешь.
39 uno-group
 
24.12.18
15:20
(37) Это для белых адресов. Если внешних юзеров мало то тот кто не смог подключиться звонит админу и тот узнав ИП вносит его в белый список.
40 Автоном
 
24.12.18
15:20
(32) Есть такая штука - проверка подлинности на уровне сети.
Выполняется  до инициализации сеанса.

Если ее выключить - да можно заддосить систему до полного отказа множественными подключениями.

Поэтому все дело лишь в грамотной настройке RDP.
41 sitex
 
naïve
24.12.18
15:21
(37) Нечего не надо сидеть ждать. Увеличил немного попытки блокировки и сразу молодец окажется в списке. Диапазон пошел в список брандмауэра . Делов на 20-30 минут
42 Автоном
 
24.12.18
15:23
(38), (39) Шутите?
Десятки подключений пользователей, плюс сотни попыток подбора - и вы прелагаете админу дежурить и контролировать это в режиме реального времени?

Обычно если ограничивают по IP - позвонили админу, он в течении суток внес IP в список разрешенных.
43 Автоном
 
24.12.18
15:25
(41)Не понял про какой список идет речь?
нетстат покажет кто ломится.
А дальше что?
44 sitex
 
naïve
24.12.18
15:27
(43) Если грамотный админ ему не нужны всякие чудо проги и т.д. все сделает из консоли . А дальше анализ и как вы сами сказали в (40) грамотная настройка RDP и фаера.
45 Nyoko
 
24.12.18
15:35
круче чем эта sd карты не встречал, просто бомба
https://www.yarkiy.ru/goods/14076-sdxc-64gb-sony-class10-uhs-1-sf64uxt-94mbs
из usb взял бы опять sony
USB-флешка SONY MicroVault Entry 64Gb Black (USM64X/B)
46 Nyoko
 
24.12.18
15:38
(45) сорян перепутал окошко...
47 uno-group
 
24.12.18
16:00
(42) К челу сейчас ломится и он не может заблокировать судя из вопроса и возникновения темы не может у него быть десятки внешних подключений. Я предложил как за 5-10 минут сейчас можно увидеть сволочь и заблокировать, а дальше спокойно читать и настраивать систему.
48 Автоном
 
24.12.18
17:29
(44)Ну а завтра другой ломиться будет? Неужто каждого отслеживать.
Проще настроить нормально и нехай они ломятся - не жалко.