Sikring Fjernskrivebord til Windows XP

Link: http://mobydisk.com/techres/securing_remote_desktop.html

Mange mennesker bruger Windows XP Professional remote desktop funktion til at få nem adgang til deres hjemme-pc’er. Men åbner en forbindelse til en administratorkonto på dit system er meget farligt. Blot ved at åbne porten på min firewall jeg modtaget flere logon forsøg, fra forskellige lande, inden for en uge. Gratis værktøjer findes, der bistår hackere med at bryde ind i Windows Fjernskrivebord-forbindelser. Heldigvis er der et par enkle trin, du kan tage for at beskytte dig selv:

Fjernskrivebord, Sikker

Limit-brugere, der kan logge på via fjernadgang

Først kun tillade bestemte brugere remote desktop adgang. Gå til Kontrolpanel, så systemet, derefter fanen Fjernbetjening.

 

Screen shot showing remote desktop control panel tab

 

Derfra aktivere “Tillad brugere at oprette fjernforbindelse til denne computer.” Klik derefter på “Vælg fjernbrugere.”

 

Screen shot showing remote desktop screen

 

Her, tilføjer kun de brugere, som du vil være i stand til at logge ind via fjernadgang. Hvis du er super-sikker, kan du indstille dette til en standard brugerkonto, og tvinge dig selv til at køre som en normal bruger. Dette er en meget vanskelig måde at køre Windows, da mange programmer antager brugeren har administratorrettigheder, så jeg forlader denne afgørelse op til dig.

Desværre for dig, har denne indstilling ikke gøre en ting! Du vil opdage, at du stadig kan logge på som helst administratorkonto. For at gøre tingene komplicerede, Microsoft standardindstillinger til de mindst sikre indstilling muligt, mens skjule denne kendsgerning fra brugeren. Du bliver nødt til at gå til en anden placering for at ændre den virkelige listen. Klik på Start – Programmer – Administration – Lokal sikkerhedspolitik. Hvis du ikke kan finde det, kan du også gøre Start – Kør – skriv “% SystemRoot% \ system32 \ secpol.msc / s” – Ok.

Screen shot showing local security settings

 

Under Lokale politikker – Tildeling af brugerrettigheder, er der en linje, der siger “Tillad logon gennem Terminal Services.” Og lige ved siden af det er “Administratorer, Fjernskrivebord Brugere.” Aha! Ærgerligt det ikke vise “Administratorer” i den anden skærm. Dobbeltklik på denne indstilling og fjern “Administratorer”. Hvis du vil have en administrator at få adgang, blot tilføje dem eksplicit gennem det andet skærmbillede.

 

Screen shot showing Terminal Services users

 

Indstil en konto lockout politik

Der er allerede værktøjer, der vil bruge brute-force til at gætte adgangskoder og log-on på afstand. Du kan ikke stoppe dette, men det kan minimeres ved at sætte en konto lockout politik. Hvis nogen forsøger at gætte adgangskoden, så efter et par gæt vil de blive låst ude for en periode. Dette kan gøre timer eller dage gætte bliver århundreder. Det gør det infeasable at brute-force i dit system.

Fra samme Lokal sikkerhedspolitik skærmen fra før, gå til Konto Politikker – Konto kontospærring Afbestillingsregler.

 

Screen shot showing a minimal account lockout policy

 

Konto lockout tærskel: Dette er antallet af mislykkede logon forsøg, før brugeren er låst ud. Tre er normalt tilstrækkeligt at angive nogen forsøger at bryde ind.
Nulstil konto lockout tæller efter: For en typisk hjem-system, skal du indstille denne indstilling til at være den samme som Account Lockout Varighed nedenfor.
Konto lockout varighed: Dette er, hvor længe brugeren vil være i stand til at logge efter flere mislykkede forsøg. Selv et par minutter vil reducere muligheden for en fjern brute-force angreb. For et hjem system, kan mere end et par minutter være frustrerende. Du kan komme hjem for at finde din konto er låst ud på grund af nogle joker gætte adgangskoder. Justere indstillingen til din egen tolerance. Indstilling denne værdi til nul betyder at låse kontoen, indtil det manuelt låst.
Hvis du manuelt vil låse en konto, skal du logge som en anden administrator bruger (helst en uden remote desktop adgang). Så gå til Start – Programmer – Administration – Computer Management – Lokale brugere og grupper. Klik på den enkelte bruger og fjern markeringen i “konto er deaktiveret” afkrydsningsfelt. Du kan derefter logge på som denne bruger.

 

Screen shot showing the 'Account is disabled' checkbox on the user property page

 

Kræv Adgangskoder og 128-bit kryptering

For kompatibilitet med ældre, svagere, mindre sikre kunder, Windows XP standard tillader minimal eller ingen kryptering på remote desktop forbindelser. Hvis du opretter forbindelse med ældre software, opgradere den. Hvis du opretter forbindelse med Client PocketPC Terminal Services, så denne indstilling vil ikke arbejde for dig, da denne klient ikke understøtter høj kryptering. :-(

Klik på Start – Kør – “% SystemRoot% \ system32 \ gpedit.msc / s” for at komme til Group Policy Editor. Jeg ved ikke, hvordan man kommer der nogen nemmere end det, så du måske ønsker at tilføje et ikon for den til dine Administration.

Herfra, gå til Computer Configuration – Administrative skabeloner – Windows-komponenter – Terminal Services – Kryptering og sikkerhed.

 

Screen shot showing Terminal Services Security settings in the Group Policy

 

 

Du kan ændre “Set klientforbindelse kryptering niveau” fra “Ikke konfigureret” til “Enabled” og “High Level” for at tvinge kunden til at bruge 128-bit-sikkerhed. Dette beskytter dine adgangskoder samt noget transmitteret under dit terminal tjeneste session.

Aktivering “Altid hurtig klient til adgangskode ved forbindelse” forhindrer den fjerne bruger fra at gemme adgangskoden på klientcomputeren og undgå prompt adgangskoden. Lagring af adgangskoder er generelt en farlig indstilling, da adgangskoden er nu på en anden computer, og fordi det giver brugeren mulighed for at glemme det.

Ændre TCP port

Du kan flytte terminaltjenester havnen fra 3389 til en anden port ved at ændre den indskrive nøglen på
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-TCP \ PortNumber

Du vil derefter nødt til at angive den port, når du opretter forbindelse til dit system. Slut med noget lignende “my.computerathome.com:1234” i stedet for “my.computerathome.com”
IP-Adresse White List

Windows Firewall giver dig mulighed for at begrænse, hvilke IP-adresser har adgang til remote desktop. For at gøre dette, skal du åbne Kontrolpanel og køre Windows Firewall. Vælg fanen Undtagelser og sørg for at “Fjernskrivebord” er markeret.

 

Windows Firewall control panel screen shot

 

Klik på “Rediger” knappen og du vil se en liste over TCP-porte. Windows Firewall antager, at Fjernskrivebord ligger på port 3389. Hvis du har ændret det portnummer, skal du annullere denne skærm og i stedet klikke på “Tilføj port”, og oprette en post med det portnummer, du brugte.

 

Windows Firewall TCP port screen shot

 

Klik på “Skift Scope” knappen. Fra denne skærm kan du begrænse til det lokale netværk, eller til et bestemt sæt af IP-adresser.

Tak til Nick for dette tip!

 

Windows Firewall IP address edit screen

 

Forhindre en MITM angreb

Remote desktop er krypteret, hvilket gør det mere sikkert end mange forsimplede VNC implementeringer. Men uden ekstra sikkerhed Remote Desktop er sårbar over for en mand-in-the-middle-angreb, fordi den ikke bruger et certifikat til at godkende serveren ligesom SSL / SSH gør. Det betyder, at hvis du opretter forbindelse til et dit system via remote desktop, er der ingen garanti for, at samtalen ikke er indspillet, og dine passwords er ikke garanteret at være sikker, selv om sessionen er krypteret.

På Windows XP, er der ingen indbygget understøttelse af sikre certifikater i remote desktop. Derfor, for at lukke denne sikkerhedshul skal du bruge SSH tunneling over en VNC-forbindelse. Men Windows Server 2003 giver en forbedret version af terminal services, der understøtter sikkerhedsgodkendelse via TLS. For at dette skal fungere, skal du bruge en opdateret version af klienten Fjernskrivebord software. Du skal også konfigurere Windows Server 2003 for at bruge et certifikat, som beskrevet i artiklen i Microsoft Knowledge Base.

Overvåg logfiler

Logbog logfiler mislykkede login-forsøg og konto lockout. Du kan med jævne mellemrum kontrollere dette for at se, hvis nogen forsøger at få i. Hvis din firewall holder logs (Windows Firewall gør) så kan du bruge disse til at se, når nogen forsøger at oprette forbindelse.

 

 

 

 

 

Comments are closed.