pragon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А еще открыть порт RDP только для конкретных адресов с которых осуществляется подключение ... Всего записей: 192 | Зарегистр. 05-07-2006 | Отправлено: 18:45 08-06-2007

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору andrejvb Цитата: А ломануть удаленно - из серии фантастики.   идем в гугл и набираем слова, например: tsgrind, tscrack .... yk Цитата: 1. насколько безопасен открытый порт RDP? Цитата: снаружи разрешен доступ с любого IP настолько же, насколько и открытие других сервисов в инет: на-очень-мало. Цитата:  существует ли схемы получения доступа по RDP (взлома), не зная логин/пароль (общепринятых логинов - Администратор, гость - нет). да. примеры смотри выше. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 19:28 08-06-2007

andrejvb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Хм.. Про TSCrack не знал, спасибо. Но брутфорс по нестандартному порту и неизвестного логина с длинным паролем и на медленной линии - это фантастика! Если не согласен - стукнись в ПМ, дам IP для проверки (предупреждаю, встроенный администратор переименован). Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 23:36 08-06-2007

ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору andrejvb мы таки тоже присоединимся. сломать можно фсё. ведь ломать - не строить. зависит от ценности объекта. ---------- Absit invidia verbo Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 23:51 08-06-2007

andrejvb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ShriEkeR Цитата: сломать можно фсё Кто б спорил, только "хлопотно это" Ессесно, если игра стоит свеч, в конце-концов или сломают или задосят Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 00:15 09-06-2007

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору andrejvb Цитата: Но брутфорс по нестандартному порту и неизвестного логина с длинным паролем и на медленной линии - это фантастика! Охохо. Да нет, не фантастика это. Нестандартный порт и логин задержат атакующего на некоторое время. И все. Цитата: Если не согласен - стукнись в ПМ, дам IP для проверки Подобными "проверками" занимаются в двух случаях: 1. Наличие большого количества свободного времени, которое нечем более полезным занять. (Не мой случай) 2. Аудит безопасности и поиск путей вторжения для послежующего "латания дыр". Но это делают со страшной силой небесплатно, за очень серьезное "небесплатно". (Не твой случай, как я думаю) ShriEkeR Цитата: andrejvb   мы таки тоже присоединимся. К чему? Цитата: сломать можно фсё. ведь ломать - не строить. зависит от ценности объекта. Совершенно верно. Причем если объект представляет какую-то ценность, то совсем не обязательно заморачиваться на атаку "в лоб". Есть много способов: взлом мобильного клиента с целью увода сохраненных креденшелов, социальная инженерия, перехват нешифрованного трафа(пользователи часто везде ставят один логин\пароль чтобы "не забыть" - и во всяких бесплатных интернет сервисах вполне могут пользовать свой логин\пароль "как на работе") и море другого... Безопасность намного более комплексная штука, чем простой набор тех. мероприятий. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 07:55 09-06-2007 | Исправлено: G14, 08:01 09-06-2007

andrejvb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Цитата: совсем не обязательно заморачиваться на атаку "в лоб" Золотые слова! Цитата: Есть много способов Точно. Профи скорее подсунет в почту модифицированного троянчика, чем будет тупо ломать "в лоб". Тех.мероприятия скорее спасут от "пионЭров", а не от целенаправленного заказного взлома. Так что не вижу повода для спора . Тезис "сломать мона фсё" я никогда не оспаривал, всё зависит только от цены вопроса, т.к. время это денюжки Цитата: Безопасность намного более комплексная штука, чем простой набор тех. мероприятий И впервую очередь ВНУТРЕННИХ мероприятий, т.к. бессмысленно городить кучу навороченных файеров и антивирусников, если внутри сети царит анархия.   Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 10:39 09-06-2007

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LexusG Цитата: Подскажите а система выдачи сертификатов даже если будут простые пароли для пользователей RDP спасет отца русской демократии? Ну насчет спасти это конечно громко, но жизнь ему облегчит - это да А зачем публиковать напрямую сервисы в инет? Почему нельзя запускать пользователя, например, по L2TP\IPSec (на сервер в DMZ) а оттуда строго пускать только в RDP\ICA. Такая конфигурация заметно осложнит вторжение... ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 10:44 09-06-2007

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Клиентская часть хранится на флэшке (сертификаты) и ходи откуда угодно. Угу. Украсть флешку это же так трудно. Не говоря уж о потерять... Сертификат лучше хранить на шифрованом винчестере. Чтобы даже потеря\кража лэптопа не вызывала сильных опасений (даже спецам понадобится время, чтобы попытаться раскриптовать диск - за это время можно отозвать сертификат\заблокировать пользователя и т.п.).   А если спереть флешку(а лучше скопировать) - пока пользователь допрет что случилось, пока админы отреагируют.... К тому же есть всегда "социальный" вариант, примитивный до безобразия: к клиенту подсаживается красавица и "ой какая у вас флешка..512Мб...охох..а давайте меняться? а то у меня не такая красивая "... И усе. И клиент никогда не расскажет админу, что махнулся флешками с девочкой в поезде(инфу же ему СКОПИРОВАЛИ на новую флешку). Он этому вообще внимания не придаст.... ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 11:24 09-06-2007

andrejvb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 По-моему, ценную инфу на флэшке никто ВНЕ контейнеров Truecrypt уже давно не хранит. Или я ошибаюсь ? Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 11:33 09-06-2007

SPV_Ed Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: спасет отца русской демократии, на мой взгляд, поднятие OpenVPN и вход на RDP через него. Клиентская часть хранится на флэшке (сертификаты) и ходи откуда угодно. Разве OpenVPN - портабельное приложение, которое можно запустить со съемного носителя? Ведь где угодно его установить невозможно. Всего записей: 474 | Зарегистр. 20-06-2006 | Отправлено: 15:28 09-06-2007

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SPV_Ed Речь только о месте хранения файла ключа\сертификата. А путь к нему настраивается... Но в принципе ты прав, сам OVPN требует установки и настройки... ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:40 09-06-2007

LexusG Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Друзья!   Спасибо что пнули в нужном направлении! Сертификаты хочу хранить на ноутбуках генерального и коммерческого директоров. А если потеряют приется каждому по чипу вшить с сертификатом без наркоза и обновлять раз в неделю по такому же алгоритму Всего записей: 448 | Зарегистр. 14-09-2005 | Отправлено: 16:12 09-06-2007

proxixixi Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день. И так.  Вчера потратил день на решения данной проблемы. Юзал, google.com, yandex.com и другие поисковые порталы. Натолкнулся на интересную статью, но и тут меня сопутствовала неудача (http://www.osp.ru/win2000/2006/05/2660062/_p1.html). На этапе "Запрос сертификата для сервера терминала" статья и мои действия - не сошлись. Все делал четко по пунктам.   Далее я взялся за книги: Уильям Р. Станек  Microsoft Windows Server 2003. Справочник администратора; MS_Press-Чарли_Рассел_Шарон_Кроуфорд_Джейсон_Джеренд_Справочник_ администратора_Microsoft_Windows_Server_2003; БХВ - Microsoft Windows Server 2003. Русская версия. Наиболее полное руководство.2004; и другие...   Ничего конкретного не нашел...   У меня имеется:   Windows 2003 server r2. На нем подняты: СA и Terminal Service, так же лицензия терминала.   Нужно, что бы клиент конектился на сервер через RDP с применением шифрования SSL. VPN не предлагать , хотя с ним более надежно...   Вот что есть:   Вот что нужно получить:       Всего записей: 180 | Зарегистр. 04-09-2007 | Отправлено: 15:12 09-12-2007

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Безопасность RDP

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование