Зачастую нашим клиентам (как правило, небольшим организациям, не имеющим собственной ИТ-службы) необходимо предоставить доступ к своему терминальному серверу (о настройке и обеспечении отказоустойчивости будет отдельная статья) через глобальную сеть Интернет. Мы, конечно, советуем этого не делать, а использовать для подключения VPN (рекомендуем наш любимый МягкийЭфир VPN Server), но если клиент настаивает, то мы стараемся его максимально защитить.
И именно о средствах, с помощью которых мы этого добиваемся, пойдет речь в этой статье.
Первая программа, о которой мы поговорим, называется Cyberarms Intrusion Detection and Defense Software (IDDS).
количество неудачных попыток входа в систему за последние 30 дней К сожалению, судя по всему, разработка была остановлена в 2017 году, но тем не менее программа (с некоторыми нюансами - о них позже) работает даже на ОС Windows Сервер 2019 .
Принцип работы достаточно прост, но в то же время эффективен: после нескольких неудачных попыток ввода пароля (количество для блокировки задается в параметрах) срабатывает софт-блокировка (подозрение на перебор), происходит инцидент. создается в журнале и IP помечен как подозрительный.
Если новых попыток не будет, то через 20 минут адрес удаляется из списка просматриваемых.
Если поиск паролей продолжается, то IP-адрес «злоумышленника» добавляется в правило запрета подключения брандмауэра Windows (должно быть активировано) и таким образом подбор пароля с этого адреса временно прекращается, поскольку соединения полностью блокируются.
Жесткая блокировка будет длиться 24 часа — этот параметр установлен по умолчанию.
Не рекомендуем включать «Жесткую блокировку навсегда», иначе количество IP в правиле брандмауэра быстро «раздуется» и программа будет тормозить.
Порог мягкой и жесткой блокировки – количество и продолжительность Установить программу просто – скачать архив с помощью установщика распаковать во временную папку.
Загрузить и установить Microsoft Visual С++ 2010 x64 ( vcredist_x64.exe ) и только после этого запускаем пакет установщика Windows — Cyberarms.IntrusionDetection.Setup.x64.msi , поскольку файл setup.exe не может загрузить и установить Visual C++ автоматически.
Далее настраиваем — активируем агент для защиты RDP-сессий» Агент безопасности TLS/SSL ", на вкладке " АГЕНТЫ ": 
Включить «Агент безопасности TLS/SSL»
Вторая программа — Duo Authentication для входа в Windows и RDP.
Это инструмент многофакторной аутентификации от Duo Security (Cisco), коммерческого многофункционального продукта, который работает безупречно и позволяет использовать смартфоны, токены и коды для 2FA. Настройка программы немного сложнее предыдущей программы, но благодаря хорошей документации от разработчика происходит довольно быстро.
- Зарегистрируйте себе административную учетную запись , для доступа в панель управления (Личный кабинет).
Рекомендуем сразу добавить еще одного администратора, поскольку восстановить доступ с помощью разработчика достаточно проблематично, и часто возникают прецеденты неожиданной потери смартфона администратора.
- Войдите в панель администратора Duo и перейдите в раздел «Приложения» ( Приложения ).
- Нажмите «Защитить приложение» и найдите запись для Microsoft РДП .
Нажмите «Защитить» в крайнем правом углу, чтобы настроить приложение и получить ключ интеграции, секретный ключ и имя хоста API. Эта информация понадобится вам для завершения настройки (в процессе установки Аутентификация Duo для входа в Windows ).
Мы рекомендуем установить политики по умолчанию для новых пользователей приложения.Microsoft РДП значение " Запретить доступ ", так как ни один пользователь, не зарегистрированный в Duo, не должен успешно авторизоваться.
Но для этого вам нужно будет добавить всех пользователей в Duo через панель управления вручную или, что гораздо удобнее, через импорт из Active Directory (мы будем поговорим об этом позже) и отправьте им ссылку для активации приложения Duo Security, предварительно установленного на их смартфонах.
При установке введите информацию, полученную на предыдущем шаге.
Если вы хотите включить автономный доступ с помощью Duo MFA, вы можете сделать это сейчас в разделе «Настройки автономного доступа» на странице приложения Duo или вернуться в панель администратора позже, чтобы настроить автономный доступ после первой проверки успешного входа в систему с помощью двухфакторной аутентификации.
аутентификация.
Также при установке рекомендуем отметить все 3 галочки — эти настройки позволят получить доступ к ОС без 2FA, например, при использовании консоли гипервизора или при отсутствии подключения к серверам Duo (частый случай — большое несоответствие времени ): 
Было бы неплохо напомнить вам, чтобы все ключи были в безопасности: Относитесь к своему секретному ключу как к паролю Безопасность вашего приложения Duo привязана к безопасности вашего секретного ключа (skey).После установки Duo Authentication for Windows Logon вы можете добавить пользователя (своего, без прав администратора) и активировать приложение на своем смартфоне.Защитите его так же, как любые конфиденциальные учетные данные.
Не делитесь им с посторонними лицами и не отправляйте его по электронной почте никому и ни при каких обстоятельствах!
Для этого зайдите в раздел Пользователи, нажмите Добавить пользователя – заполните необходимые поля.
Далее добавляем пользователю телефон (раздел Телефоны - Добавить телефон) и активируем Duo Moibile (ссылку активации можно отправить пользователю по СМС при наличии денег на балансе или вручную по Email или другим удобным способом).
Теперь при подключении и успешной авторизации (по логину и паролю) пользователю будет отправлено Push-уведомление на смартфон с активированным приложением Duo Mobile: 
Если на вашем смартфоне нет доступа к Интернету (а значит, Push не придет), то подтвердить авторизацию можно сгенерированным кодом (Passcode) из приложения: 
Настройка синхронизации пользователей с глобальным каталогом (Azure AD — Active Directory — LDAP) хорошо описана в разделе документация разработчика , хочу лишь уточнить, что это платный функционал.
Основным компонентом для синхронизации пользователей является Прокси-сервер аутентификации Duo - Программное обеспечение, обеспечивающее подключение к каталогу.
Если вы используете РДВЕб (клиентский доступ или шлюз), то вам понадобится еще один компонент — Аутентификация Duo для веб-сайта Microsoft Remote Desktop .
Его настройка аналогична настройке Duo Authentication для входа в Windows и не должна вызвать никаких затруднений.
Подводя итог, отметим, что рассматриваемое программное обеспечение не является панацеей от всех бед для государственных сервисов (доступных из сети Интернет), поскольку существуют уязвимости, эксплуатация которых позволяет злоумышленникам обходить даже такие меры обеспечения безопасности ОС.
инфраструктура в целом.
Поэтому всегда необходимо комплексно подходить к этому вопросу – процедуры мониторинга, аудита и обновления нормативных актов позволят вам чувствовать себя защищенными в этом турбулентном мире.
Берегите свои данные! В опросе могут участвовать только зарегистрированные пользователи.
Войти , Пожалуйста.
Используете ли вы терминальный сервер в своей инфраструктуре? 59,46% Да, подключаюсь к RDP исключительно через VPN 44 33,78% Да, терминальный сервер доступен напрямую из Интернета 25 6,76% Нет необходимости 5 Проголосовали 74 пользователя.
15 пользователей воздержались.
Теги: #информационная безопасность #Хостинг #Администрирование сервера #RDP #windows-сервер #2FA #Duo Security #Cyberarms IDDS
-
Компьютер – Необходимость Современной Жизни
19 Oct, 24 -
Google Bodyбраузер
19 Oct, 24 -
Хабр-Организм (Философский)
19 Oct, 24
