Back to site
Since 2004, our University project has become the Internet's most widespread web hosting directory. Here we like to talk a lot about web servers, web development, networking and security services. It is, after all, our expertise. To make things better we've launched this science section with the free access to educational resources and important scientific material translated to different languages.

Оbezbeđivanje Remote Desktop-a za Windows XP

Remote Desktop, nebezbedan

Мnogi ljudi koriste Windows XP Professional Remote Desktop funkciju da bi dobili jednostavan pristup svojim kućnim računarima. Ali otvaranje veze na administrativnom nalogu na Vašem sistemu je vrlo opasno. Samo od otvaranja porta na moj zid, sam dobio nekoliko pokušaja za prijavljivanje, iz raznih zemalja, u roku od nedelju dana. Postoje besplatni alati koji pomažu hakerima da provale Windows Remote Desktop konekcije. Srećom, postoji nekoliko jednostavnih koraka koje možete preduzeti da se zaštitite:

Remotе Desktop, bezbedan

Оgraničite korisnike koji se prijavljuju preko daljinskog pristupa

Prvo, dozvolite samo određenim korisnicima Remote Desktop pristup. Idite na Control Panel, zatim Sistem, onda Remote.

Odatle “Allow users to connect remotely to this computer” (Dozvoli korisnicima da se daljinski povežu sa ovim računarom). Zatim, kliknite na dugme “Select Remote Users”.

Dodajte samo korisnike koje želite da budu u mogućnosti da se prijave preko daljinske veze. Ako ste super sigurni, možete da podesite na standardni korisnički nalog, i naterate sebe da radite kao obični korisnik. Ovo je veoma težak način da pokrenete Windows, jer mnoge aplikacije pretpostavljaju da korisnik ima administratorska prava, tako da ostavljam odluku na Vama.

Nažalost za vas, ova postavka nije uradila ništa! Vi ćete otkriti da još uvek možete da se prijavite na bilo koji administratorski nalog. Da stvar bude komplikovanija, Microsoft podrazumeva najmanje sigurnu postavku moguću, dok prikriva tu činjenicu od korisnika. Moraćete da idete na drugu lokaciju da biste promenili pravi spisak. Kliknite na dugme Start-Programs-Administrative Tools-Local Security Policy. Ako ne možete da je pronađete, možete da uradite Start-Run-uneti "%SystemRoot%\system32\secpol.msc /s" - Ok.

Ispod Local Policies - User Rights Assignment, stoji rečenica koja kaže “Allow logon through Terminal Services." (Dozvoli prijavljivanje preko terminalnog servisa). I odmah pored toga je “Administrators, Remote Desktop Users." (Administratori. Korisnici Remote Desktop-a). Aha! Šteta što nije prikazano “Administrators" u drugom ekranu. Dvaput kliknite na ovu opciju i uklonite “Administrators." Ako želite da administrator ima pristup, samo ih dodajte eksplicitno preko drugog ekrana.

Postavite Account Lockout politiku

Već postoje alati koji će koristiti grubu silu da pogode lozinke i prijavljivanje na remote desktop. Vi ih ne možete zaustaviti, ali možete svesti na minimum postavljanjem Account lockout politike. Ako neko pokušava da pogodi lozinku, posle nekoliko pokušaja će biti zaključan na određeno vreme. Ovo može učiniti da nekoliko sati ili dana pogađanja lozinke potraje vekovima. To čini neizvodljivo da pomoću grube sile prodru u Vaš sistem.

Iz istog Local Security Policy ekrana od malopre, idite na Account Policies - Account Lockout Policy.

Account lockout threshold: Ovo je broj neuspešnih pokušaja pre nego što je korisnik zaključan. Tri pokušaja su obično dovoljno da se pokaže da neko pokušava da se probije.

Reset account lockout counter after: Za tipičan kućni sistem, podesite ovu postavku da bude ista kao Account Lockout Duration ispod.

Account lockout duration: Ovo je koliko dugo će korisnik biti u mogućnosti da se prijavi nakon nekoliko bezuspešnih pokušaja. Čak i nekoliko minuta će značajno smanjiti mogućnost daljinskog napada grube sile. Za kućni sistem, ništa više od nekoliko minuta može biti vrlo frustrirajuće. Možda ćete doći kući i pronaći svoj nalog zaključan zbog nekog džokera. Podesite postavku tako da Vama odgovara. Postavljanje ove vrednosti na nula zaključava nalog, sve dok se ručno ne otključa.

Za ručno otključavanje naloga morate da se prijavite kao drugi administrator korisnik (po mogućstvu bez pristupa remote desktop-a). Zatim idite na Start - Programs - Administrative Tools - Computer Management - Local Users and Groups. Kliknite na pojedinačnog korisnika i isključite "account is disabled" polje za potvrdu. Tada možete da se prijavite kao taj korisnik.

Zahtevaju lozinku i 128-bitnu enkripciju

Za kompatibilnost sa starijim, slabijim i manje sigurnim klijentima, Windows XP podrazumeva da omogući minimalnu ili nikakvu enkripciju na remote desktop konekcije. Ako se povezujete sa starijim softverom, unapredite ga. Ako se povezujete sa PocketPC Terminal Services Client, onda ova postavka neće raditi za Vas, jer taj klijent ne podržava visoko šifrovanje :-(

Kliknite na dugme Start - Run - "%SystemRoot%\system32\gpedit.msc /s" da biste došli do Group Policy Editor. Ne znam kako bih lakše došao do toga, tako da ćete možda želeti da dodate ikonu za to u Vašim Administrativnim alatima.

Odavde idite na Computer Configuration - Administrative Templates - Windows Components - Terminal Services - Encryption and Security.

Мožete promeniti "Set client connection encryption level" (podesi nivo enkripcije za klijenta) iz "Not Configured" na "Enabled" i "High Level" da biste naterali klijenta da koristi 128-bitnu sigurnost. Ovo štiti Vaše lozinke, kao i bilo šta što se prenosi tokom terminalne sesije.

Aktiviranje opcije "Always prompt client for password upon connection" (Uvek traži lozinku kada se klijent povezuje) sprečava udaljenog korisnika da sačuva šifru na klijentovom računaru i izbegne upit za šifru. Čuvanje lozinke je generalno opasna postavka, pošto je lozinka sad na drugom računaru i zbog toga što omogućava korisniku da zaboravi lozinku.

Promena TCP porta

Možete da premestite terminal servisne portove od 3389 na druge portove promenom registratorskog ključa u

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

Nakon toga ćete morati da odredite port prilikom povezivanja sa sistemom. Povežite sa nečim kao "my.computerathome.com:1234" umesto "my.computerathome.com"

Bela lista IP adresa

Windows Firewall Vam omogućava da ograničite koje IP adrese imaju pristup Remote Desktop-u. Da biste to uradili, otvorite Control Panel i pokrenete Firewall. Izaberete karticu “Exceptions” (Izuzeci) i uverite se da je “Remote Desktop” opcija pokrenuta.

Kliknite na dugme "Edit" i videćete listu TCP portova. Firewall pretpostavlja da Remote Desktop leži na portu 3389. Ako promenite broj porta, potrebno je otkazati ovaj ekran i umesto toga izaberite “Add Port” i stvoriti unos broja porta koji ste koristili.

Kliknite na "Change Scope" dugme. Sa ovog ekrana, možete da ograničite pristup na lokalnoj mreži, ili na određeni skup IP adresa.

Hvala Nick-u za ovaj savet!

Sprečite MITM napad

Remote desktop je kodiran, što ga čini sigurnijim od mnogih pojednostavljenih VNC implementacija. Međutim, bez dodatne sigurnosti Remote Desktop je osetljiv na čovek-u-sredini-napade jer ne koristi sertifikat za server kao što SSL/SSH radi. To znači da ako se povežete na svoj sistem preko Remote Desktop-a, ne postoji garancija da se taj razgovor ne snima i ne garantuje da su Vaše lozinke bezbedne, iako je sesija šifrovana.

Na Windows-u XP, ne postoji ugrađena podrška za bezbedan sertifikat u Remote Desktop-u. Dakle, da bi zatvorili ovu bezbednosnu rupu morate da koristite SSH tunelovanje preko VNC konekcije . Međutim, Windows Server 2003 pruža unapređenu verziju termalnih usluga koje podržavaju bezbednosne autentifikacije preko TLS-a. Da bi ovo funkcionisalo, morate da koristite ažuriranu verziju Remote Desktop Client softvera . Takođe morate podesiti Windows Server 2003 da koristi sertifikat kao što je opisano u članku Microsoft Baze Znanja.

Моnitoring log fajlova

Event Viewer logova nije uspeo da se prijavi i zaključavanje naloga. Povremeno možete proveriti da li neko pokušava da se uvuče unutra. Ako Vaš Firewall čuva logove (Windows Firewall ne čuva) onda možete da koristite ovo da biste videli kada neko pokušava da se poveže.





Published (Last edited): 06-05-2013 , source: http://www.mobydisk.com/techres/securing_remote_desktop.html