@astrave
В корпоративной сети работает терминальный сервер на WIndows Server 2008 R2.
Доступ к нему получают через OpenVPN, то есть в интернет он не смотрит никак.
Недавно поднимался вопрос о безопасности этого терминального сервера на уровне доступа с клиентский компов.
Суть вопрос в том, что гипотетически на клиентском компе (личном ноутбуке допустим), который подключается по OpenVPN к корпоративной сети, может находится вредоносное ПО, которое может попытаться «ломануть» каким то образом протокол RDP или другие сервисы на этой виндовой машине. Как можно грамотно организовать защиту этой тачки (особенно учитывая что она работает на старенькой версии винды) от угроз с общедоступной VPN сети (все таки в ней работают личные компьютеры пользователей, на которых может стоять все что угодно). Как можно обезопасить подключение с них к RDP протоколу, чтобы пропускалось только правильное и нужное, а подозрительное отбрасывалось? Есть ли какие нибудь анализаторы трафика в реальном времени?
Решения вопроса 0
Ответы на вопрос 4
@Zoominger
@SignFinder
Правильный вариант — обновление ОС.
Единственное, что можно посоветовать как колхоз — поднять RDP Gateway на Windows Server 20162019 и открыть доступ к терминальному серверу только через Gateway, запретив все остальное файрволом.
Все остальные варианты будут стоить дороже лицензии на обновление ОС.
@Jump
Все что нужно это отключение неиспользуемых и устаревших сервисов вроде старых версий SMB, и настройка фаервола.
В фаерволе заблокировать все чем не пользуетесь.
А доступ по RDP ограничить пулом локальных адресов.
@Protos
Это лишь время когда вредонос или инсайдер про эксплуатирует одну из уязвимостей за 2020-2021 годы
Атака может быть как с соседнего сервера (DC, например, раз у вас терминальник старый, то из DC аналогично)
А это случится, у вас же и ПК личные используются.
OpenVPN тоже поди по клбчику который хранится в операционке, а значит его могут спереть и злоумышленник вообще со своей kali linux подключится.
Как можно обезопасить подключение с них к RDP протоколу, чтобы пропускалось только правильное и нужное, а подозрительное отбрасывалось?
Отказаться от личных домашних устройств либо внедрять MDM, но тоже видимо не ваш вариант по деньгам, правильно конечно концепцию Zero trust.
Двухфакторка + одноразовый пароль не через SMS.
EDR на каждом устройстве и в том числе на терминальникн с правилами блокировки устройства если риск превышен. Вывод терминальника из домена. Перенос его в сегмент где нет других серверов. Настройка согласно бэйслайну от MS и еще сильнее отключив ненужное на нем. Минимазиция доступов с сервера куда-то в сеть, например, не давать с него доступа к персональным данным (читай 152-ФЗ и подзаконные акты) и иной информации ваших клиентов. Сбор логов с него на другое устройство и анализ событий безопасности в логах.