VIRY.CZ

Zdravím.
Po čisté instalaci Windows 7 jsem zpozoroval podezřelý traffic pomocí resource monitoru.
V prohlížeči událostí je v sekci TerminalServices-RemoteConnectionManager tisíce pokusů o přihlášení k RDP. Uživatelské jména typu admin, manager, owner, root atp.
Docela mě znepokojuje informace o tom, že v logu je napsáno "Vzdálená plocha: Ověření uživatele se zdařilo", přitom když se chci připojit k tomuto PC a zadám schválně špatné údaje, tak se toto v logu neobjeví.
Problémem je, že útočník mění IP. Dá se tomu bránit, ale nechat vzdálenou plochu povolenou?
Omezil jsem počet hesel, který může uživatel zadat na 2, bohužel to funguje jen pro účty, které opravdu existují.
Díky za jakékoliv rady.

Zdravím,
při jakéhokoliv povolení užívání počítače na dálku (používání vzdálené plochy apod.) je samozřejmostí nepoužívat nějaká primitivní/přednastavená hesla a nastavit nějakou přístupovou politiku, to je základ...

Řešení ad-hoc jako takové není nějak složité i když útočník mění IP adresy. Většinou totiž používá nějaký rozsah (např. 5.39.8*.*) v tomto případě je řešením zablokovat rozsah ze kterého přichází nelegitimní/floodovací požadavky. (Většinou = útok nejde z botnetu.) Kde to zablokovat (router, firewall, OS...) už nechám na vás, nevím, jaká je síťová architektura.

Pokud jsou systematicky IP měněny/spoofovány (botnet, systematický útok), není nic jednoduššího než nastavit (povolit) vzdálený přístup pouze z určitého hostu (př. z ip-123.123.123.*.yourprovider.cz) a pakety/požadavky od ostatních zahazovat. Toto doporučuji.

A obecně k tomu ještě dodám: Samozřejmě je spousta způsobů jak se bránit hádacím útokům (strojově hromadným zkoušením přihlašovacích údajů) klidně i z různých IP adres - omezení na pokusy a následnou prodlevu plus BAN, povolení přihlašování pouze z určitých sítí, používáním kvalitní captchy...