Блог компании RUVDS.com
Виртуализация
Серверное администрирование
Хостинг
Комментарии 33
0
Можно использовать RDP как TV/RA/Ammy?
Т.е. внешний IP есть порт RDP проброшен.
Но нужно чтобы локальный юзер (на сервере RDP) видел что происходит (не отключало его сеанс) и мог вмешаться?
+4

Про теневые сессии вы ничего не слышали, я так понимаю?

+7

mstsc /?, параметр shadow. В зависимости от версии винды, может потребоваться по-другому подключаться, но в целом ищите информацию по rdp shadowing.

+2
Можно воспользоваться «Удалённым Помощником» (Remote Assistance, для систем от XP до 10) или «Быстрой помощью» (Quick Assist, появилась в Win10, требуется учётка MS Live)
+1
отличная статья… сначала мы говорим о том, что RDP вполне себе безопасен (и даже не надо заворачивать внутрь ВПНа) а потом говорим о том, что вообще твою RDP сессию вполне можно угнать причем несколькими способами. :)
0
Из обычной версии Windows 10 вполне возможно сделать терминальный сервер, и тогда к обычному компьютеру смогут подключаться несколько пользователей по RDP и одновременно работать с ним.

Когда к вашему читателю придет проверка и попросит уточнить, как тут с соблюдением лицензирования дела обстоят, он может на вас сослаться? :/

0
Статья сугубо техническая и не призывает ни к каким незаконным действиям.
Мы предлагаем нашим клиентам только серверные версии ОС Windows согласно соглашению SPLA и тщательно следим за соблюдением лицензионных требований, в частности по поводу удаленного подключения.
Данный пункт статьи полезен для тех, кто хочет организовать подобный доступ для личных нужд на личном ПК с соблюдением норм права на свой страх и риск.
0
Читал трения по поводу rdpwrapper, ЕМНИП использовать его официально можно, т.к. не подменяются системные файлы windows. Плюс наше законодательство разрешает патчить софт в целях устранения ошибок либо улучшения, хотя тут нюансов конечно полно: чем например кряк или триалресет хуже вышеупомянутого rdpwrapper.
+1

Нет тут никаких трений. https://www.microsoft.com/en-us/Useterms/Retail/Windows/10/UseTerms_Retail_Windows_10_Russian.htm, п. 2а — "право установить и запустить один экземпляр программного обеспечения на устройстве (лицензированное устройство) для одновременного использования одним лицом"; а в 2c(v) явно указано, чего нельзя делать (в частности, "предоставлять данное программное обеспечение для одновременного использования несколькими пользователями в сети", и т.п.).


Так что автор совершенно четко описывает использование с нарушением лиц. соглашения, причем даже не потрудившись предупредить об этом в статье.


наше законодательство разрешает патчить софт

В строго определенных целях, среди которых превращение рабочей станции в многопользовательский сервер отсутствует.

0
А если я, как одно физическое лицо, работаю в нескольких сессиях на одном удаленном компьютере (используя данную утилиту), это будет считаться нарушением лиц. соглашения?
0

Лиц. соглашение доступно вам ровно так же, как и мне. :) Мое личное мнение — формально это скорее всего попадает под п. 2с (iv) "пытаться обойти технические ограничения в программном обеспечении", но, если ОС реально используется одним лицом, на практике при аудите это не вызовет проблем.

0
github.com/stascorp/rdpwrap/issues/26
А что такое вообще одновременное использование одним лицом?
Если я на лицензионной 7ке запущу апач с сайтом для друзей, то это уже нарушение лицензии?
+3
Рекомендации проброса 3389 на роутере — вообще за гранью.
Это один из излюбленных сервисов для атаки брутфорсом, не пробрасывайте стандартный порт никогда.
0

Я всегда использую стандартный порт + стойкий пароль, это плохо?

+1
Если этот порт смотрит в мир без ограничений — да.
Если вы единственный пользователь, то еще полбеды.
Если это терминальный сервер с N юзеров, политикой смены паролей и блокировки учеток — то это совсем беда. Будете ловить и блокировки учеток из-за попыток подбора и пароли в стиле «Qwe123!», который прекрасно подходят под политику сложности, но неустойчивы к брутфорсу.
К сожалению — выставить 3389 в мир, а потом героически сражаться с последствиями — излюбленная игра многих. Идеальное решение — VPN. Если невозможно, то хотя-бы нестандартный порт.
0

Зависит от. В целом не очень хорошо даже в случае отсутствия (известных) уязвимостей и действительно стойком пароле, потому что никакой штатной защиты от брутфорса в винде нет, и вас будет достаточно легко за-ддосить при желании, заставив систему обрабатывать большой поток попыток входа. А вот если, например, настроена блокировка учеток при определенном количестве неверных попыток входа, или там шатдаун при переполнении журнала безопасности, то это вообще просто выстрел в ногу.

0
На своем MikroTike я наcтроил Port Knocking, после которого IP с которого я стучусь добавляется в white list на некоторое время и уже для этого IP работают все пробросы. Но даже в этом случае проброс через 3389 я не делаю, порт меняю на нестандартный и вам советую.
0
К моему серверу постоянно так присасывались какие‐то боты, но не могли пройти аутентификацию. На сервере из‐за этого постоянно запускались дополнительные процессы csrss.exe и winlogon.exe, а потом завершались. И так каждый раз на нового бота. Это заметно тормозило сервер.
Выход нашёл через введение белого списка разрешённых IP‐адресов для соединения через политику IPSec.
0
Чтобы заняться брутфорсом RDP нужно с атакуемой стороны иметь клиента с Windows и включенную проверкой подлинности на уровне сети, в противном случае RDP сервер принимающий соединения будет вас отмораживать еще на этапе этой проверки, забудьте про Windows XP и не живите в начале 2000-х. Проще эксплуатировать уязвимости, которые Microsoft потихоньку да прикрывает, например в начале мая была прикрыта уязвимости в CredSSP
-1
ru_vds, Используемое вами изображение в начале статьи, является объектом авторского права владельцев продукта Wtware.
Будьте любезны проставить ссылку на авторский сайт или не использовать изображение вовсе.
0
Это безопасность через неясность.
Так себе решение.
0
А позволю себе подчеркнуть — как один из методов.
Естественно еще есть VPN, port knocking и так далее. Белый список IP.
0
Вопрос касательно угона RDP:
Например у меня сервак на нем стоит ESXi и подняты виртуалки с одной из них я рулю инфраструктурой. Это виндовая машина с белым IP Win srv 2016 yf ней включен RDP я к ней подключаюсь из дома. У меня обычный серый IP. Порт стандартный. Пароль 16 символов
Буквы, цифры, спец символы. Могут ли угнать сессию?
Для безопасного доступа как я понимаю нужен VPN. Подойдет ли для этой цели pfsense?
За одно и будет раздавать интернет на нужные VM?
Где почитать как все правильно приготовить?
0
pfsense прекрасно подойдет, конфигурируете его как шлюз для остальных машин, настраиваете vpn по желанию (IPsec,L2TP,OpenVPN) все довольно наглядно, через веб-интерфейс
0
Для обеспечения безопасности RDP протокола (или любого другого, который торчит наружу в винде) можно нужно пользоваться IPBAN Это подобие fail2ban для винды.
0
Как включить SSL/TLS написали, а как установить сертификат? И можно ли использовать клиентский сертификат?
0
Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.
Только полноправные пользователи могут оставлять комментарии. , пожалуйста.