✅ ИНСТРУКЦИЯ ПО ЗАЩИТЕ RDP ПОДКЛЮЧЕНИЯ К СЕРВЕРУ

💬 В этой инструкции описаны рекомендуемые действия по защите Вашего сервера.
✅ ПЕРЕИМЕНУЙТЕ СТАНДАРТНУЮ УЧЕТНУЮ ЗАПИСЬ АДМИНИСТРАТОРА
Нажмите Win + X и выберите «Управление компьютером»:
управление-ПК.png
💻 Затем выберите «Локальные пользователи» —→ «Пользователи» —→ кликните правой кнопкой мыши по имени пользователя «Администратор» и выберите «Переименовать»:
🛠 Переименуйте пользователя и используйте это имя для последующих подключений к удаленному рабочему столу.
✅ БЛОКИРОВКА RDP-ПОДКЛЮЧЕНИЙ ДЛЯ УЧЕТНЫХ ЗАПИСЕЙ С ПУСТЫМ ПАРОЛЕМ
Усилить безопасность можно запретив подключаться к учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи»: разрешить использование пустых паролей только при консольном входе»:
1. Откройте локальную политику безопасности (нажмите Win + R и введите команду secpol.msc)
2. Перейдите в раздел «Локальные политики» –-> «Параметры безопасности».
3. Дважды щелкните на политике «Учетные записи: разрешить использование пустых паролей…» и убедитесь, что она включена:
🛠 Вещь полезная, поэтому не оставляйте этот параметр без внимания.
✅ СМЕНА СТАНДАРТНОГО ПОРТА REMOTE DESKTOP PROTOCOL
Не лишним будет сменить стандартный порт на котором работает протокол RDP. Как это сделать уже описано в наших инструкциях: Windows Server 2012 и Windows Server 2016.
✅ ЗАЩИТА ОТ БУРТФОРСА
Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее.
💻 Для блокировки атакующих IP адресов будем использовать свободно распространяющееся ПО — IPBan. Это приложение проверено и работает в Windows Server 2008 и всех последующие версиях. Windows XP и Server 2003 — не поддерживаются. Алгоритм его работы простой: программа мониторит журнал событий Windows, фиксирует неудачные попытки входа в систему и, после 5-ти попыток злоумышленника подобрать пароль, блокирует IP адрес на 24 часа.
✅ Итак:
1. Cкачайте архив с программой здесь ->;
2. В нем находятся два архива IPBan-Linux-x64.zip и IPBan-Windows-x86.zip, нам нужен последний. Распакуйте архив IPBan-Windows-x86.zip в любое удобное место (в примере это корень диска C:);
3. Так как файлы скачанные с интернета система автоматически блокирует в целях безопасности, для работы приложения необходимо разблокировать все файлы. Щелкните правой кнопкой мыши на все извлеченные файлы и выберите свойства. Обязательно выберите «разблокировать», если этот параметр доступен. Либо, откройте окно PowerShell (Win + R, введите powershell и «ОК») и воспользуйтесь командой следующего вида:
get-childitem “местоположение папки” | unblock-file -confirm
4. Вам нужно внести следующие изменения в локальную политику безопасности, чтобы убедиться, что в логах системы отображаются IP-адреса. Октройте «Локальную политику безопасности» (Win + R, введите secpol.msc и «OK»). Перейдите в «Локальные политики» —> «Политика аудита» и включить регистрацию сбоев для «Аудита входа в систему» и «Аудита событий входа в систему»:
5. Для Windows Server 2008 или эквивалентного вам следует отключить логины NTLM и разрешить только NTLM2-вход в систему. В Windows Server 2008 нет другого способа получить IP-адрес для входа в систему NTLM. Откройте «Локальную политику безопасности» (Win + R, введите secpol.msc и «OK»). Перейдите в «Локальные политики» —> «Параметры безопасности» —> «Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM» и установите значение «Запретить все учетные записи»:
6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R, введите powershell и «ОК») и выполните команду типа:
sc.exe create IPBAN type= own start= auto binPath= c:\"Каталог с программой"\IPBan.exe DisplayName= IPBAN
🛠 Перейдите в службы (Win + R, введите services.msc и «OK») и запустите службу IPBAN, в дальнейшем она будет запускаться автоматически:
💻 В «Диспетчере задач» можно убедиться, что служба запущена и работает:
💤 Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:
💬 Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку «Область» в свойствах правила «IPBan_0» и удалите из списка нужный Вам IP адрес:
👉🏻 Подробнее с картинками смотрите тут: https://daytradingschool.ru/instrukciya-po-zashhite-rdp-podklyucheniya-k-serveru/