windows server cryptomalware

 ( mgabor | 2019. március 5., kedd - 7:41 )

Fogtam egy Windows Server 2016 STD-t (ez volt kéznél), megváltoztattam az rdp portot 3388-ra, jelszónak meg beállítottam, hogy "Windows2016Server". A rendszert teljesen up-to-date-re frissítettem. Semmi plusz szolgáltatás nem volt telepítve rá, csak egy ms sql szerver 2017. Csak az rdp volt kitéve a netre és 4 nap múlva már egy "titkosítós" vírus áldozatává vált. Kép Szóval lehet, hogy érdemes normális jelszót választani, nem gondolnám, hogy másképp "jöttek be". Megtartottam a log-ot meg mindent, ha lesz kedvem/időm majd nyomozgatok mi történt. Ez csak ilyen brit tudósok féle kísérlet volt :)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Alapból limitálja a hibás loginos próbálkozások számát? Mert ha igen, akkor a gyenge jelszóval is kevésnek tűnik a 4 nap, mert ha kizárná az IP-t akkor nem tudna bruteforce-olni, és lássuk be, a gyenge jelszavak kombinációja is elég nagy, ha 5 után kizárja az IP címet 5 percre, majd következőnél 1 órára, akkor nem tudna bejönni szerintem (több nagyságrenddel csökkenne az esély).

Nem limital alapbol. Mondjuk azert igy kirakni egy OS-t nem kell csodalkozni. Nem feltetlenul a jelszo volt a problema gondolom a basic hardening lepesek is elmaradtak. RDP-re alapbol rakunk 2FA-t DUO 10 userig ingyenes (jatszos gepen is hasznalom sok helyen) de a business account is kb gombok.

felmerul a kerdes, hogyha ennyire unsecure az rdp akkor miert nincs alapbol "bekapcsolva" az 2fa?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem vagyok Windows-os infrás ember, de az utolsó amit jelenlegi ismereteim alapján megtennék az, hogy egy RDP-t kitegyek pucéren az Internetre. 2FA ide vagy oda. Inkább privát subnet, oda meg valami rendes VPN.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/p9_lite

+1 illetve ott is elkélne a limit a login próbálkozásokhoz, mert a VPN auth-ot is megszerezhetik. Egy ilyen limitációnak egyszerűen nincs negatív hatása, mert ha ötödszörre sem tudja valaki beírni a jelszót, ott már alapból gond van. Tehát nem csökkenti a kényelmi faktort, közben pedig növeli a biztonságot.

Emlékeztek hogy valamikor több éve az alma az ifelhőhöz nem használt login limitet és betörtek és leszedték egy csomó celeb privát fotóit és adatit?

Az utolsó mondatom is megvan?

Ilyet tud a Windows Server alapból? :D Tavaly még evlwatcher-el kellett szórakozni (a konfig xml-be a passzív agresszív megnyilvánulások mondjuk tetszettek).

Idézet:
This rule checks the RdpCoreTS/Operational Log for failed login attempts

This only tackles login attempts where the user does not exist (existing users do not trigger 140.. why? no one knows)