Windows server защита от подбора пароля

Как загружать переменную с учетными данными при открытии Powershell

В Powershell есть возможность загружать переменные (и другие данные) при открытии самой консоли. Например мы сможем единожды объявить переменные ‘$credential_local’, ‘$credential_domain’, ‘$credential_forest’ и каждый раз открывать консоль Powershell они сами будут импортироваться. 

Первое что нужно сделать — проверить существования файла ‘Microsoft.PowerShell_profile.ps1’, который является профилем Powershell. Путь до этого файла лежит следующей переменной (если работаете в сессии PSsession — ничего не вернется):

Если этого файла нет — его нужно создать (c PS 6+ он должен создаваться автоматически):

В этот файл мы помещаем один из скриптов написанных выше:

Теперь, открывая консоль, вы всегда сможете вызвать эту переменную:

Рекомендую

Работа со списком заблокированных адресов

Просмотр

Получить список правил можно командой:

fail2ban-client status

Получить статистику заблокированных адресов для конкретного правила можно следующей командой:

fail2ban-client status <имя правила>

При наличие заблокированных IP-адресов мы увидим, примерно, следующее:

`- action
   |- Currently banned: 2
   |  `- IP list:       31.207.47.55 10.212.245.29

С помощью iptables:

iptables -L -n —line

С помощью firewall-cmd:

firewall-cmd —direct —get-all-rules

Удаление

Средствами fail2ban:

Для удаление адреса из списка вводим:

fail2ban-client set <имя правила> unbanip <IP-адрес>

например:

fail2ban-client set ssh unbanip 31.207.47.55

С помощью iptables:

iptables -D <цепочка правил> -s IP-адрес

например:

iptables -D fail2ban-ssh -s 10.212.245.29

С помощью firewall-cmd:

firewall-cmd —direct —permanent —remove-rule <правило>

например:

firewall-cmd —direct —permanent —remove-rule ipv4 filter f2b-sshd 0 -s 188.134.7.221

После необходимо перечитать правила:

firewall-cmd —reload

Удалить существующее правило брандмауэра

Наконец, мы хотели бы удалить существующее правило, так как оно может больше не понадобиться. Для этого запустите команду , Когда вы делаете это, часто разумно использовать параметр, чтобы убедиться, что правило является правильным для удаления.

Важно отметить, что Можно удалить несколько правил одновременно. Пример такого типа функциональности приведен ниже

Приведенное ниже правило удалит все отключенные правила, содержащиеся в политике в домен.

Полезная команда, но потенциально опасная, выполняется сам по себе, который удаляет все статические локальные правила брандмауэра, которые были созданы. Если у вас есть объект групповой политики домена, который определяет правила брандмауэра, он удалит все, которые могут конфликтовать с этими правилами, определенными объектом групповой политики.

Использование Credential Manager (Диспетчер учетных данных)

Многие знают, что пароли от сетевых дисков (и многие другие) хранятся в специальном месте под названием Credential Manager. В панели управления он выглядит так:

Мы можем получить доступ к этим объектам использовав модуль CredentialManager. Этот модуль не относится к стандартным и устанавливается отдельно:

У вас могут появится два уведомления говорящие об установке репозитория NuGet и о том, что он является не доверенным.

У нас станут доступны 4 команды:

  • Get-StoredCredential — получает учетные данные из хранилища;
  • Get-StrongPassword — генерирует случайный пароль;
  • New-StoredCredential — создает учетные данные;
  • Remove-StoredCredential — удаляет учетные данные.

Далее мы сможем получить все учетные данные указав нужный тип в атрибуте Type или  Target (источник) которому эти данные принадлежат:

Мы получаем объект типа PSCredential, который мы можем использовать в командах. Создавать новые учетные данные и добавлять их в хранилище CredentialManager мы тоже можем:

Кроме логина и пароля мы указываем:

  • Target — кому принадлежит учетная запись. Проще говоря имя компьютера;
  • Type — тип учетной записи;
  • Persist — тип хранения. Может быть session (временной), localmachine (сохраненной) и enterprise(как я понимаю это тип перемещаемый, например с MS Passport).

Первые два пункта особого значения не имеют. Они предназначены для программ, которые получают пароли по определенным идентификаторам. В ваших скриптах вы выбираете идентификаторы для себя.

Так же у меня была ошибка ‘New-StoredCredential : CredWrite failed with the error code 1312’. Эта ошибка проявляет себя только в удаленных сессиях PSSession. Если вы работаете локально — то она не проявляется. Причина ошибки и ее решение — пока не ясно (нет ответа на github).

Защита от буртфорса

Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее. 

Для блокировки атакующих IP адресов будем использовать свободно распратраняющееся ПО — IPBan. Это приложение проверено и работает в Windows Server 2008 и всех последующие версях. Windows XP и Server 2003 — не роддерживаются.  Алгоритм его работы простой: программа мониторит журнал событий Windows, фиксирует неудачные попытки входа в систему и, после 5-ти попыток злоумышленника подобрать пароль, блокирует IP адрес на 24 часа.

Итак:

  1. Cкачайте архив с программой здесь;
  2. В нем находятся два архива IPBan-Linux-x64.zip
    и IPBan-Windows-x86.zip,
     нам нужен последний. Распакуйте архив IPBan-Windows-x86.zip
    в любое удобное место (в примере это корень диска C:
    );
  3. Так как файлы скачанные с интернета система автоматически блокирует в целях безопасности, для работы приложения необходимо разблокировать все файлы. Щелкните правой кнопкой мыши на все извлеченные файлы и выберите свойства. Обязательно выберите «разблокировать», если этот параметр доступен. Либо, откройте окно PowerShell (Win + R,
    введитеpowershell
    и «ОК»)
     и воспользуйтесь командой следующего вида: 

    Например:

 

     4. Вам нужно внести следующие изменения в локальную политику безопасности, чтобы убедиться, что в логах системы отображаются IP-адреса. Октройте «Локальную политику безопасности» (Win + R,
введите secpol.msc
и «OK
«). Перейдите  в «Локальные политики» —> «Политика аудита» и включить регистрацию сбоев для «Аудита входа в систему» и «Аудита событий входа в систему»:

     5. Для Windows Server 2008 или эквивалентного вам следует отключить логины NTLM и разрешить только NTLM2-вход в систему. В Windows Server 2008 нет другого способа получить IP-адрес для входа в систему NTLM. Октройте «Локальную политику безопасности» (Win + R,
введите secpol.msc
и «OK
«). Перейдите  в «Локальные политики» —> «Параметры безопасности» —> «Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM» и установите значение «Запретить все учетные записи»:

     6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R,
введитеpowershell
и «ОК»)
и выпоните команду типа:

Например:

 Перейдите в службы (Win + R,
введите services.msc
и «OK
«) и з
апустите службу IPBAN
, в дальнейшем она будет запускаться автоматически:

В «Диспетчере задач» можно убедиться, что служба запущена и работает:

Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:

Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку «Область» в свойствах правила «IPBan_0» и удалите из списка нужный Вам IP адрес:

Как разрешить удаленные подключения к компьютеру

Если Вы хотите подключиться к находящемуся в вашей локальной сети удаленному компьютеру, Вы должны убедиться, что на этом компьютере разрешены удаленные подключения.

Важно! Приложение «Удаленный рабочий стол» работает только с редакциями операционной системы Windows 10 не ниже Pro (Профессиональная)

Для того, чтобы разрешить подключения к удаленному компьютеру, выполните на нем следующие действия:

  1. Откройте «Панель управления»;
  2. Зайдите в раздел «Система»;
  3. Выберите пункт «Защита системы»;
  4. Выберите вкладку «Удаленный доступ»;
  5. Активируйте пункт «Разрешить удаленные подключения к этому компьютеру»;
  1. Нажмите на кнопку «ОК»;
  2. Нажмите на кнопку «Применить»;
  3. Снова нажмите «ОК», чтобы завершить задачу.

Если Вы все сделали правильно, теперь ваш компьютер будет поддерживать удаленные подключения по локальной сети.

Если Вы хотите получить доступ к этому компьютеру через Интернет, внимательно прочитайте следующий раздел.

Как настроить удаленный доступ к компьютеру через Интернет

Если Вы хотите получить удаленный доступ к компьютеру через Интернет, в дополнение к настройкам системы, вам необходимо произвести некоторые дополнительные настройки.

Как настроить на компьютере статический IP-адрес

Для того, чтобы в Windows 10 подключиться к удаленному рабочему столу, вам понадобится IP-адрес компьютера, который может быть статическим или динамическим. Первый является более предпочтительным, так как компьютер все время использует один и тот же адрес. В случае же с динамическим, IP-адрес меняется при каждой перезагрузке компьютера, из-за чего работать с удаленным компьютером не получится. Чтобы решить проблему, необходимо присвоить компьютеру статический IP-адрес. Для этого:

  1. Откройте «Панель управления»;
  2. Зайдите в «Центр управления сетями и общим доступом»;
  3. Выберите пункт «Изменение параметров адаптера»;
  4. Кликните правой кнопкой мыши по текущему подключению, и выберите «Свойства»;
  5. Выберите «IP версии 4 (TCP/IPv4)»;
  6. Нажмите на кнопку «Свойства»;
  7. Активируйте пункт «Использовать следующий IP-адрес»;
  8. Введите действительный локальный IP-адрес, который находится вне сферы действия DHCP (во избежание конфликтов IP-адресов в сети). Например: (Вы можете найти эту информацию в разделе «Настройки DHCP» вашего маршрутизатора);
  9. Введите Маску подсети. В большинстве домашних сетей, это следующее значение: ;
  10. В разделе «Основной шлюз» введите IP-адрес маршрутизатора. Например: 10.1.2.1.;
  11. В разделе «Использовать следующие адреса DNS-серверов» не забудьте ввести IP-адрес вашего DNS-сервера, который в большинстве случаев является IP-адресом маршрутизатора. (Если Вы не можете подключиться к Интернету, Вы можете попробовать использовать Google Public DNS адреса: 8.8.4.4 и 8.8.8.8);
  1. Нажмите на кнопку «ОК»;
  2. Нажмите на кнопку «Закрыть», чтобы завершить задачу.

Как найти публичный IP-адрес вашего компьютера

Если Вы хотите получить возможность удаленного подключения к вашему компьютеру через Интернет, чтобы связаться с устройством, вам необходимо знать ваш публичный IP-адрес.

Самым простым способом найти ваш публичный IP-адрес является следующий:

Откройте веб-браузер, и зайдите на сайт В верхней части страницы Вы увидите адрес, который и является вашим публичным IP.

Имейте в виду, что большинство интернет-провайдеров предлагают для своих потребителей динамические общедоступные IP-адреса, а это значит, что ваш публичный IP-адрес может время от времени меняться.

Как настроить на маршрутизаторе TCP-порт 3389

Чтобы разрешить удаленные подключения через Интернет к определенному компьютеру, находящемуся в локальной сети, вам необходимо настроить на сетевом маршрутизаторе TCP-порт 3389. Для этого:

Запустите «Командную строку»;
Введите команду ipconfig и нажмите Enter:
Обратите внимание на IPv4-адрес, который идентифицирует ваш компьютер в локальной сети. Кроме того, обратите внимание на основной шлюз, который является IPv4-адресом маршрутизатора;

  1. Откройте веб-браузер;
  2. Введите в строке поиска IPv4-адрес вашего роутера и нажмите Enter;
  3. Войдите на страницу маршрутизатора, используя ваш логин и пароль;
  4. Просмотрите список доступных настроек и найдите раздел «Port Forwarding»;
  5. Убедитесь, что эта функция включена;
  6. Под списком «Port Forwarding» добавьте следующие данные:

Название службы: Вы можете использовать любое имя, которое хотите;

Диапазон портов: введите TCP порт номер 3389;

Локальный IP: введите IPv4-адрес вашего компьютера. Например: ;

Локальный порт: введите тот же номер TCP порта 3389;

Протокол: выберите TCP.

  1. Убедитесь, что данные были добавлены в настройки маршрутизатора;

Сравнение групп AD

Иногда это превращается в сложную задачу, когда вам нужно сравнить две группы AD и найти ту, в которой отсутствует один пользователь из-за того, что несколько пользователей добавлены в определенные группы. Я создал простой скрипт, чтобы сэкономить время, поэтому делюсь им с вами.

Как это работает

Сценарий сравнивает 2 предоставленные группы и показывает, чего не хватает в этих двух группах. Если значение показывает “==”, значит пользователь есть в обеих группах, если “=>” или “<=”, значит некоторые пользователи отсутствуют в одной из групп.

Вероятный результат

С помощью скрипта вы узнаете, какой пользователь отсутствует или какая группа безопасности отсутствует.

Compare ad groups Powershell Scripts

$group1 = read-host "Enter  group 1"
$group2 = read-host "Enter  group 2"

$a= get-adgroupmember -identity $group1 |select -expandproperty Name
$b= get-adgroupmember -identity $group2 |select -expandproperty Name

compare $b $a -includeequal

Работа с записями реестра. Создание списков записей реестра.

Существует несколько способов просмотра реестра. Самый простой — получить имена свойств, связанные с разделом. Например, чтобы просмотреть имена записей в разделе реестра , используйте . Разделы реестра содержат свойство с универсальным именем Property, которое является списком записей реестра в разделе. Следующая команда выбирает свойство Property и расширяет элементы так, чтобы они отображались в списке:

Get-Item -Path Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion |
  Select-Object -ExpandProperty Property
DevicePath
MediaPathUnexpanded
ProgramFilesDir
CommonFilesDir
ProductId

Чтобы просмотреть записи реестра в более удобочитаемой форме, используйте .

Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
PSPath              : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SO
                      FTWARE\Microsoft\Windows\CurrentVersion
PSParentPath        : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SO
                      FTWARE\Microsoft\Windows
PSChildName         : CurrentVersion
PSDrive             : HKLM
PSProvider          : Microsoft.PowerShell.Core\Registry
DevicePath          : C:\WINDOWS\inf
MediaPathUnexpanded : C:\WINDOWS\Media
ProgramFilesDir     : C:\Program Files
CommonFilesDir      : C:\Program Files\Common Files
ProductId           : 76487-338-1167776-22465
WallPaperDir        : C:\WINDOWS\Web\Wallpaper
MediaPath           : C:\WINDOWS\Media
ProgramFilesPath    : C:\Program Files
PF_AccessoriesName  : Accessories
(default)           :

Все свойства Windows PowerShell раздела имеют префиксы PS, например PSPath, PSParentPath, PSChildName и PSProvider.

Для создания ссылки на текущее расположение можно использовать нотацию .  можно использовать для изменения значения на контейнер реестра CurrentVersion.

Set-Location -Path Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

Кроме того, можно использовать встроенный диск HKLM PSDrive с .

Set-Location -Path hklm:\SOFTWARE\Microsoft\Windows\CurrentVersion

Затем можно использовать нотацию  для текущего расположения, чтобы перечислить свойства без указания полного пути.

Get-ItemProperty -Path .
...
DevicePath          : C:\WINDOWS\inf
MediaPathUnexpanded : C:\WINDOWS\Media
ProgramFilesDir     : C:\Program Files
...

Расширение пути работает так же, как и в файловой системе, поэтому в этом расположении можно получить перечисление ItemProperty для  с помощью .

Как добавить приложение в исключение брандмауэра Windows 10

Добавление исключений в брандмауэр Windows происходит путем создания правил входящих и исходящих подключений. Есть возможность создать правило подключения как для программы, так и для порта. Поскольку иногда появляется необходимость разрешить определенный порт для конкретного приложения.

  1. Запускаем окно брандмауэра Windows 10 выполнив команду firewall.cpl в окне Win+R.
  2. Открываем Мониторинг брандмауэра Защитника Windows в режиме повышенной безопасности выбрав в разделах брандмауэра пункт Дополнительные параметры.
  3. Дальше переходим в пункт Правила для входящих подключений или Правила для исходящего подключения и нажимаем кнопку Создать правило.
  4. В открывшимся окне выбираем какого типа правило Вы хотите создать, в нашем случае выбираем Для программы и нажимаем Далее.
  5. Следующим шагом необходимо указать путь программы нажав кнопку Обзор и нажать Далее.
  6. Последними шагами будет указание действия, когда подключение удовлетворяет указанным условиям, выбор профилей к которым применяется правило и указание имени нового правила.

При создании неверного правила брандмауэра или же когда подключение блокируется правилом брандмауэра Windows в пользователей есть возможность отключить или вовсе удалить проблемное правило. Для этого нужно со списка правил найти ненужное правило и в контекстном меню выбрать пункт отключить правило или удалить.

Выводы

Брандмауэр вместе с обновленным Защитником в Windows 10 является полезным средством защиты системы в целом. Поэтому мы не рекомендуем полностью отключать брандмауэр. Более простым способом решения ситуации с не работоспособностью приложений из-за брандмауэра есть добавления исключений путем создания правил входящих и исходящих подключений.

В этой статье мы разобрались как добавить программу в исключение брандмауэра Windows 10

А также рекомендуем обратить внимание на пункт инструкции как разрешить приложение в брандмауэре, поскольку возможно при автоматическом выскакивании запроса был выбран не правильный вариант

  • https://vynesimozg.com/kak-dobavit-v-isklyucheniya-brandmauera-windows-10/
  • https://viarum.ru/kak-dobavit-isklyucheniya-v-brandmauer-win-10/
  • https://windd.ru/kak-dobavit-programmu-v-isklyuchenie-brandmauera-windows-10/

Добавление исключений в безопасном режиме

Теперь разберем, как добавить приложение в исключения брандмауэра Windows 10 в режиме повышенной безопасности. Этот способ является более гибким, так как позволяет разрешать или блокировать подключения отдельно для разных программ, портов, профилей и даже конкретных IP-адресов.

Рассмотрим процедуру на простом примере. Чтобы запустить брандмауэр в режиме повышенной безопасности, откройте его сначала в стандартном режиме и нажмите слева в меню ссылку «Дополнительные параметры». Также вы можете воспользоваться быстрый командой wf.msc.

При этом откроется окно, разделенное на три области. В левой колонке вам нужно будет выбрать тип правила. Если вы хотите, чтобы программа могла отправлять пакеты с компьютера, выбирайте правило для входящих подключений, если же нужно разрешить программе принимать трафик из интернета, выбирайте правила для входящих подключений. Правила не являются взаимоисключающими, настраивать их можно вместе и по отдельности.

Добавим исключение в брандмауэр Windows 10 для входящего подключения программы Архивариус. Выделите в меню слева нужную опцию, а затем в меню справа нажмите «Создать правило». При этом откроется окно мастера, в котором вам будет предложено указать тип правила. Поскольку разрешать мы будем программу, оставляем активной радиокнопку «Для программы».

Жмём «Далее» и указываем путь к исполняемому файлу приложения.

Опять нажимаем «Далее» и в качестве действия выбираем «Разрешить подключение».

На следующем этапе брандмауэр попросит указать, для какого профиля будет применяться правило. Под профилем в данном случае имеется ввиду тип сети, которая может быть доменной, частной и публичной. По умолчанию разрешение выставляется для всех доступных типов сети, здесь всё можно оставить так как есть.

Наконец, последний шаг – присвоение правилу имени. Оно должно быть легко запоминающимся и содержательным, чтобы затем не пришлось гадать, для чего же вы создавали правило.

После нажатия кнопки «Готово» правило появится в списке в средней колонке окна брандмауэра.

Точно таким же образом создаем правило для исходящего подключения, если в этом есть необходимость. На этом всё. Теперь вы знаете, как в брандмауэре добавить в исключения любую программу. Ничего сложного тут нет, однако нельзя не отметить, что в сторонних фаерволах данная процедура является еще более простой и прозрачной.

Брандмауэр Защитника Windows был добавлен компанией Майкрософт с целью увеличения безопасности пользователей в целом. Ещё с первых версий был создан функционал с возможностью добавления программ и различных приложений в исключения брандмауэра. Всё потому что существует не мало необходимых программ, которые не принимает брандмауэр.

Данная статья покажет как добавить программу в исключение брандмауэра Windows 10. А также рассмотрим как изменить разрешение взаимодействия с приложением или компонентом в брандмауэре Защитника Windows 10. Бывает намного легче полностью отключить брандмауэр в Windows 10 и проверить работает ли нужная программа.

Протокол SSH

Это стандартный и достаточно безопасный способ подключения к веб-серверу Linux. Протокол предусматривает сквозное шифрование, передачу незащищенного трафика по надежному соединению, применение x-forwarding и др. Изменив его конфигурацию, возможно защитить сервер от шифровальщиков за счет применения SSH-ключей.

Вход через пароль — это самый распространенный вариант, но он менее безопасен, так как нужную комбинацию относительно легко подобрать с помощью современных инструментов.

Типы SSH-ключей

  • Открытый ключ — для идентификации пользователя, может быть общедоступным.
  • Закрытый ключ — подтверждает открытый ключ (авторизацию) и хранится в безопасном месте.

Защита Windows Server

Рассмотрим самые популярные способы защиты виртуального сервера на основе Windows Server.

Настройка Firewall

Онлайн-серверы Windows не имеют дополнительных шлюзов безопасности. За это отвечает только брандмауэр, обеспечивающий защиту подключений. С его помощью можно отключить неиспользуемые порты.

Самому обычному VPS потребуются только порты 80 и 443. А для неиспользуемых портов необходимо ограничить источники подключений, установив пользовательский список IP, для которых оно возможно. Для этого настраиваются правила входящих подключений.

Следующие порты должны быть доступны пользователям, чей IP-адрес надежен:

  • 3389 — стандартный порт RDP;
  • 1433-1434 — стандартные порты SQL;
  • 53 — DNS;
  • 80, 443 — веб-сервер;
  • 990 — FTPS.

Изменение имени администратора и создание нескольких аккаунтов

После смены имени получить несанкционированный доступ будет сложнее. Для этого:

  1. Переходим по «Редактор локальной политики безопасности» — «Локальные политики» — «Параметры безопасности» — «Учетные записи» — «Переименование учетной записи администратора».
  2. Устанавливаем имя, которое известно только вам.

Если сервер администрирует несколько человек, для каждого нужно создать отдельную учетную запись. Это позволит отслеживать чужие действия через системный журнал. Для систем Unix специалисты рекомендуют вообще не использовать учетную запись root.

Ограничение прав учетной записи

По возможности все операции, которые не требуют прав администратора, должны выполняться с другой учетной записи. Это повышает безопасность, когда речь идет о случайном запуске зараженной вирусом программы.

Например, защита почтового сервера часто включает в себя мониторинг спама, которым нередко пользуются взломщики. В таком случае вредоносное ПО не сможет навредить системе, так как у учетной записи ограничены права.

Общий доступ с паролем

Защита терминального сервера основывается на установке паролей для папок с общим доступом. Это обезопасит систему, так как даже через файлы, которые не представляют собой никакой ценности, можно получить к ней лазейку.

Следует ограничить права пользователей без полного доступа. Такая защита сервера намного проще, чем следить за безопасностью всех учетных записей.

Автоотключение сессий

Когда пользователь случайно забывает закрыть RDP-клиент на чужом компьютере, наличие опции автоотключения при бездействии спасет систему от несанкционированного доступа. Тогда после истечения определенного времени придется вводить пароль для повторного входа. Настроить функцию можно в «Конфигурации узла сеансов удаленных рабочих столов».

Мастер настройки безопасности

Утилита Microsoft Security Configuration Wizard (SCW) создает файлы безопасности для дублирования на все серверы инфраструктуры. Они состоят из правил работы с сервисами, настройки параметров ОС и брандмауэра.

Локальная и групповая политика безопасности

При использовании групповых политик (например, в Active Directory) понадобится периодически проводить проверки и повторную конфигурацию. Это один из самых эффективных инструментов, гарантирующих обеспечение безопасности ОС.

Локальная политика безопасности затрагивает локальные аккаунты, поэтому ее тоже необходимо использовать, чтобы обезопасить сервер.

Удаленные рабочие столы

Доступ к ним осуществляется через протокол RDP, который считается безопасным. Но есть возможность усилить защиту. Для этого существуют:

  1. Блокировка подключения для учетных записей с пустым паролем. Она осуществляется через «Локальные политики безопасности» и параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе».
  2. Изменение стандартного порта RDP. С этой целью в реестре изменяется параметр HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp Port Number. После необходимо добавить для него правило в брандмауэре и перезагрузить сервер. Чтобы подключить затем к порту через этот сервер, понадобится добавить его вручную в «Подключение к удаленному рабочему столу».

Защита RDP-сессий через SSL/TLS

Если при подключении не используется VPN, защита RDP-сервера от перебора паролей обеспечивается SSL/TLS-соединением туннелированного типа. Чтобы настроить этот параметр, нужно задействовать запрос определенного уровня безопасности, указав SSL (TLS 1.0).

Создание файлов и папок

Создание новых элементов осуществляется одинаковым образом всеми поставщиками Windows PowerShell. Если поставщик Windows PowerShell поддерживает более одного типа элементов (например, поставщик Windows PowerShell FileSystem различает каталоги и файлы), необходимо указать тип элемента.

Эта команда создает папку :

New-Item -Path 'C:\temp\New Folder' -ItemType Directory

Эта команда создает пустой файл .

New-Item -Path 'C:\temp\New Folder\file.txt' -ItemType File

Важно!

При использовании параметра Force с командой  для создания папки, которая уже существует, она не перезапишет и не заменит папку. Будет просто возвращен имеющийся объект папки. Однако, если использовать  в уже имеющимся файле, файл будет полностью перезаписан.

Вид блокировки. Что выбрать DROP или REJECT?

Для того, чтобы выбрать, нужно понимать разницу между drop и reject.

  • reject — отбросить пакет и отправить ICMP сообщение об отклонении
  • drop — просто отбрасывает пакет

В сети давно идет холивар на тему что лучше. Выбор зависит от того, какие задачи нужно решить и от чего защититься.

В нашем примере будем использовать Drop, это позволит снизить нагрузку на процессор и уменьшить исходящий трафик, так как маршрутизатор не будет отправлять ответ (как при reject), а просто сбрасывать соединение.

Обратите внимание, что  есть RAW PREROUTING и MANGLE PREROUTING.  В нашем случае используется RAW PREROUTING, так как эта обработка идет первой

Заключение

6 основных способов защиты сервера

  1. SSH-ключи (Linux) — это пара криптографических ключей, которая, как говорилось выше, используется для проверки подлинности и является альтернативой паролям. Их использование делает аутентификацию полностью зашифрованной.
  2. Фаерволы (Windows\Linux) — с помощью брандмауэра можно обеспечить дополнительную защиту серверу даже при наличии встроенного защитного функционала у ПО. Он позволяет уменьшить количество уязвимостей и заблокировать доступ к чему угодно.
  3. VPN (Windows\Linux) — защищенное соединение между удаленными ПК и соединением. Обеспечивает приватность сети, позволяя сделать ее видимой для выбранных пользователей.
  4. PKI и SSL/TLS шифрование (Windows\Linux). Центры сертификации позволяют шифровать трафик и производить проверку идентичности для разных пользователей.
  5. Аудит (Windows\Linux) — изучение рабочих процессов серверной инфраструктуры. Процедура показывает, какие процессы запущены и что они делают. Помимо этого можно провести аудит файлов, чтобы сравнить два варианта системы — текущий и характеристики при нормальной работе. Это позволяет выявить происходящие процессы, для которых требуется аутентификация, а также защитить сервер от DDOS-атак.
  6. Изолированная среда выполнения предусматривает запуск системных компонентов в выделенном пространстве. По факту, для каждого процесса появляется свой изолированный «отсек», который при атаке ограничивает взломщику доступ к другим компонентам ОС.

Следует помнить, что даже при работе с выделенным сервером с защитой, необходимо соблюдать меры предосторожности, включая регулярное обновление ПО и ограничение доступа для ряда IP-адресов. Применение комплексных мер позволяет избежать утечки важных данных, дает возможность защитить сервер от взлома методом подбора паролей

Если меры предосторожности не помогли, не стоит расстраиваться. Восстановить работоспособность сервера вполне возможно, как и устранить выявленные уязвимости с помощью представленных способов

Не стоит забывать и о содержимом сервера. Вовремя сделанный резервный образ поможет быстро восстановить бережно настроенные сервисные службы и ценные базы данных.

Главное в случае с безопасностью — это постоянство. Сервер и систему стоит периодически проверять, что касается и надежности IP-адресов с высоким уровнем доступа.

Оцените материал:

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: