Защита удаленного рабочего стола от подбора пароля server 2008

15.12.11

Администрирование - Информационная безопасность

+20
Эта статья возникла благодоря успешному удаленному подбору имени и пароля к учетной записи  Windows, на которой используется служба удаленных рабочих столов.
В ней содержиться описание доступного механизма блокировки таких попыток подбора паролей без вложения денег.

Скачать файл

ВНИМАНИЕ: Файлы из Базы знаний - это исходный код разработки. Это примеры решения задач, шаблоны, заготовки, "строительные материалы" для учетной системы. Файлы ориентированы на специалистов 1С, которые могут разобраться в коде и оптимизировать программу для запуска в базе данных. Гарантии работоспособности нет. Возврата нет. Технической поддержки нет.

Наименование По подписке [?] Купить один файл
Скрипт
.ps1 0,90Kb
22
22 Скачать (1 SM) Купить за 1 850 руб.

Нам нужно:

1)PowerShell

2)Peerblock

3)Скрипт блокировки.

Итак, думаю о первых двух пунктах Вы найдете много информации не из этой статьи.

Третий пункт, собственно сценарий:

$Events=Get-EventLog security  -after (Get-date).AddMinutes(-15) | ?{$_.eventid -eq 4625 }

if($Events.Count -gt 1){

$IPs = New-Object System.Collections.ArrayList

$Data = New-Object System.Management.Automation.PSObject

$Data | Add-Member NoteProperty Address ($null)

$Events | %{ $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}

$Data.Address = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+:."})

# здесь укажем маску внутренней сети, чтобы не блокировать наших пользователей

if(($data.address -notlike "192.168.1*") -and $data.address.length -gt 7)

{ $IPs += $Data.address } }

$IPs = $IPs | sort -property Address| get-unique

$IPs = $IPs | sort-object | Get-Unique

foreach ($objItem in $IPs) {"IP"+":"+$objItem + "-" + $objItem | Out-File "C:\Scripts\IPfilter.p2p" -append -encoding oem} }

$P=get-process peerblock* if($P.Name -like "peerblock*") {$P |stop-process}

Start-process "C:\Program Files\PeerBlock\peerblock.exe"

Теперь нужно настроить  Peerblock  на получившийся бан лист C:\Scripts\IPfilter.p2p", т.е запустить и указать путь к нему.

Следующим шагом будет добавление задания в планировщик заданий с интервалом 15 минут.

Описанный выше скрипт можно модифицировать под собственные нужды. Для Windows 2003 необходимо изменять параметры eventid и message.

В комментариях есть полное описание скрипта

 

 

+20

См. также

Работа с бинарными файлами, форматом ASN1 и криптографией в 1С8

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016    30187    10    1    

11
Интеграция Vault и 1С

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024    6846    kamisov    18    

61
Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    8622    PROSTO-1C    10    

39
Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    2608    platonov.e    1    

23
Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023    5129    capitan    9    

47
Быстрая и комплексная оценка защищенности базы и сервера

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    6448    21    soulner    8    

33
Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    7592    53    Silenser    12    

24
Временная блокировка работы пользователя (Alt+L)

Информационная безопасность Пароли Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Бесплатно (free)

Расширение для параноиков.

22.11.2022    4505    122    ixijixi    12    

19
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. artbear 1565 15.12.11 09:45 Сейчас в теме
Опиши схему работы скрипта, без этого описания совершенно непонятно, какие действия блокируются :(
simgo83; +1 Ответить
2. simgo83 71 15.12.11 10:27 Сейчас в теме
(1) Описываю:
#получаем журнал Windows "Безопасность" за последние 15 минут с сообщениями где ключ eventid = 4625
#(этот параметр говорит о том что, вход производился удаленно, и пароль либо имя не были введены правильно)
$Events=Get-EventLog security -after (Get-date).AddMinutes(-15) | ?{$_.eventid -eq 4625 }
#ставим условие, если с заданными параметрами имеются записи в журнале
if($Events.Count -gt 1){
#Создаем список значений и присваиваим его переменной "IPs"
$IPs = New-Object System.Collections.ArrayList
#Создаем объект данных и присваиваим его переменной "Data"
$Data = New-Object System.Management.Automation.PSObject
#Добавляем поле "Address" к оъекту данных
$Data | Add-Member NoteProperty Address ($null)
#убираем все лишнее в записях
$Events | %{ $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$Data.Address = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+:."})
# здесь укажем маску внутренней сети, чтобы не блокировать наших пользователей
if(($data.address -notlike "192.168.1*") -and $data.address.length -gt 7)
#Добавляем записи в список значений
{ $IPs += $Data.address } }
#Сортируем и убираем повторяющиеся записи
$IPs = $IPs | sort -property Address| get-unique
$IPs = $IPs | sort-object | Get-Unique
#Добавляем записи в файл бан листа в нужном формате, заметь что папка "Scripts" уже должна быть на диске за ранее
foreach ($objItem in $IPs) {"IP"+":"+$objItem + "-" + $objItem | Out-File "C:\Scripts\IPfilter.p2p" -append -encoding oem} }
# Перезапускаем программу "peerblock"
$P=get-process peerblock* if($P.Name -like "peerblock*") {$P |stop-process}
Start-process "C:\Program Files\PeerBlock\peerblock.exe"
kuzyara; adaltrade; cashtrade; +3 Ответить
3. Модератор раздела 15.12.11 10:51 Сейчас в теме
(2) Спасибо.
Но все-таки непонятно главное - по какому принципу идет ограничение? сколько раз злоумышленник может сделать попыток подбора? каким образом блокируется злоумышленник?
полного ответа на эти вопросы в коде/комментах не увидел
Да и не все ведь код могут прочитать :)
Ответить
4. simgo83 71 15.12.11 12:14 Сейчас в теме
Но все-таки непонятно главное - по какому принципу идет ограничение?

Ограничение идет при хотябы одной неудачной попытке подключиться к машине через интернет с ip адреса который не содержит в себе "192.168.1".
сколько раз злоумышленник может сделать попыток подбора?

Столько, сколько у него получиться в интервале между запуском скрипта (в нашем случае, в интервале 15 минут), после запуска скрипта он заблокируется
каким образом блокируется злоумышленник?

IP злоумышленника блокируется программой PeerBlock, которая бесплатна в распостранении, в описании есть ссылка на сайт разработчика

Все это реально работает, с учетом правильной настройки PowerShell (разрешить исполнять скрипты и запускать в планировщике с наивысшими правами с параметрами скрипта), также обновите framework хотя бы до версии 3.0.

Единственный минус этого скрипта это то, что если вы сами сидя например дома будете подключатся к своему серверу на работе через инет и ошибетесь в наборе пароля, то тогда вы попадете в бан и не сможете подключиться. Это проверенео на своем опыте))). потом необходимо будет убрать ip из бан листа и снова можно будет подключаться.
Так вот, чтобы это не произошло необходимо в скрипт добавить условие при котором сортировка по уникальности производилась только тогда когда один и тот же ip пытался подключиться к вам более например 5 раз.
+ Ответить
5. Модератор раздела 15.12.11 13:00 Сейчас в теме
(4) Всеми своими вопросами я и подводил к последнему минусу :)
Это очень важный минус/баг. скрипт нужно поправить обязательно.
Иначе как попадешь на нужный сервер, если ты забанен :) и если доступ на него только через РДП :) ?
Ответить
6. simgo83 71 15.12.11 13:24 Сейчас в теме
(5)
скрипт нужно поправить обязательно

да, этим безусловно нужно заняться (сейчас пока у меня нет свободного времени на доработку и тестирование), у кого какие пожелания и доработки пишите в комменты.
Иначе как попадешь на нужный сервер, если ты забанен :) и если доступ на него только через РДП :) ?

Либо с другого ip адреса под правильным именем и паролем, либо локально)
+ Ответить
7. lavrov 167 21.12.11 10:38 Сейчас в теме
Не совсем понял , зачем все таки нужен этот механизм? Есть же штатный встроенный в Windows . В локальных политиках безопасности можно выставить после скольких не успешных попыток блокировать учетную запись, и на какой период .
+ Ответить
8. MRAK 725 21.12.11 10:53 Сейчас в теме
(7) а здесь учетка не блокируется, можно с другого IP под ней зайти
+ Ответить
11. simgo83 71 21.12.11 17:28 Сейчас в теме
lavrov пишет:

Не совсем понял , зачем все таки нужен этот механизм? Есть же штатный встроенный в Windows . В локальных политиках безопасности можно выставить после скольких не успешных попыток блокировать учетную запись, и на какой период .
(7) lavrov,

Так вот пример: подбирают пароль под конкретно мою учетку "admin", и согласно предлагаему Вами правилу она блокируется, и я остаюсь заблокированным. Наиболее частые имена для атаки, как показала история журнала, это admin, administrator, alex, user, test, sql.
cashtrade; lavrov; +2 Ответить
12. lavrov 167 21.12.11 17:59 Сейчас в теме
(11) Теперь понял , плюсую .
+ Ответить
9. runnerrus 21.12.11 13:16 Сейчас в теме
lavrov пишет:
не произошло необходимо в скрипт добавить условие при котором сортировка по уникальности производилась только тогда когда один и тот же ip пытался подключиться к вам более например 5 раз.

Присоединяюсь к вышенаписанному. Зачем изобретать велосипед напильником, когда уже всё есть готовое?
+ Ответить
10. hackerk700 21.12.11 15:50 Сейчас в теме
да лан вам нормальная тема человек захотел сам сделать от меня +
+ Ответить
13. zangpo 09.01.12 12:52 Сейчас в теме
Я сделал проще, подручными средствами:
запускаем gpedit.msc далее
Конфигурация компьютера -> Параметры безопасности -> Политика учетных записей -> Политика блокировки:
Здесь выставляем к-во неправильных паролей, через которое учетная запись будет заблокирована на хх минут.
Если Вы сами ошиблись, то через хх минут можете повторить попытку и войти снова.
Таким образом перебор может занять не один год )

Но самый действенный способ оказался следующий:
В настройках маршрутизатора я сделал перенаправление портов, к примеру, 3378 -> 3389
И с инета захожу по rdp добавляя к имени сервера :3378.
Порт 3389 стандартный и его все знают, потому и лупятся все кому не лень.
А в этом случае мой журнал безопасности вообще чистый уже целый год )
Прикрепленные файлы:
simgo83; +1 Ответить
14. sytkosa 119 22.04.12 02:39 Сейчас в теме
(13) Шас попадаются такие прошаренные перцы что просто смена порта мало их останавливает.
Я например делаю так
1. политиками блок аккаунта на 15 минут при 3 неудачных попытках авторизации
2. блокировка IP на 2 часа при 2 неудачных авторизациях
3. После авторизации по логину паролю авторизация по картинке (мыщой надо собрать простейший пазл из mhfpys[ элементов картинки).

Практика показала. что до 3 уровня проверки горе хакеры даже и не доходили.
+ Ответить
15. clevergod 27.06.13 11:00 Сейчас в теме
8SiriuS8

а можно все таки подробнее........
+ Ответить
16. Guyer 21 26.11.14 10:00 Сейчас в теме
Дополнил скрипт White List и добавил отправку почты при срабатывании скрипта
+ Ответить
17. Guyer 21 26.11.14 10:02 Сейчас в теме
Скрипт и сами базы SQL
Прикрепленные файлы:
ADDBLOCK.vbs
BLOCK_LIST.mdf
BLOCK_LIST_log.ldf
user1065759; iov; simgo83; +3 Ответить
18. maters 10 06.03.16 10:01 Сейчас в теме
Вот мое решение с белыми листами и настройками различными.
http://infostart.ru/public/462816/
+ Ответить
Оставьте свое сообщение