Я с ней бороться уже устал, мне проще уволиться. Со временем наверное так и сделаю.
Роботодавець сильно ризикує поки це не станеться. Бо...
Может и вариант, я просто такого не робив, тому послухаю спочатку думки. Головна біда що ці обидві - бугалтерши. А я тупий
... адмін, який не вміє в vpn - це скоріш рівень бугалтерши. Повна дискваліфікація.
Я вже прочитавши назву теми напружився, а відкривши взагалі офігів. І ця людина себе гордо величала адміном і взагалі спеціалістом мало не у всіх сферах. А виявляється, що адмін = юзер. З таким "адміном" роботодавець ризикує залишитись взагалі без нічого.
Зи Звільнитись від гріха подалі, поки воно якось працює, не найгірший варіант.
Не совсем понятно, что вам даст доступ только с определенных статических адресов, это что, панацея от взлома устройства, с которого происходит доступ на сервак? У нас на работе удаленка через ВПН, ВПН только на рабочих ноутах, с других устройств подключиться к серваку нельзя, но при этом с рабочего ноута можно через любой интернет подключиться, иначе как работать в блекаут, когда проводной интернет ложится?
Не совсем понятно, что вам даст доступ только с определенных статических адресов, это что, панацея от взлома устройства, с которого происходит доступ на сервак? У нас на работе удаленка через ВПН, ВПН только на рабочих ноутах, с других устройств подключиться к серваку нельзя, но при этом с рабочего ноута можно через любой интернет подключиться, иначе как работать в блекаут, когда проводной интернет ложится?
У меня есть подозрения на "пиплинсайд", хочу отсечь лишнее для начала
Не совсем понятно, что вам даст доступ только с определенных статических адресов, это что, панацея от взлома устройства, с которого происходит доступ на сервак? У нас на работе удаленка через ВПН, ВПН только на рабочих ноутах, с других устройств подключиться к серваку нельзя, но при этом с рабочего ноута можно через любой интернет подключиться, иначе как работать в блекаут, когда проводной интернет ложится?
Доступ только с рабочих ноутов через VPN с двухфакторной авторизацией через authenticator на телефоне. Ноуты закрыты наглухо, без юсб и блютузов. Но инет любой, конечно, мало ли откуда нужно работать
Не совсем понятно, что вам даст доступ только с определенных статических адресов, это что, панацея от взлома устройства, с которого происходит доступ на сервак? У нас на работе удаленка через ВПН, ВПН только на рабочих ноутах, с других устройств подключиться к серваку нельзя, но при этом с рабочего ноута можно через любой интернет подключиться, иначе как работать в блекаут, когда проводной интернет ложится?
Доступ только с рабочих ноутов через VPN с двухфакторной авторизацией через authenticator на телефоне. Ноуты закрыты наглухо, без юсб и блютузов. Но инет любой, конечно, мало ли откуда нужно работать
Нема в нас корпоративних ноутбуків. Взагали лазять з чого попало. Такі варіанти я-б бажав мати, але, маю що маю. Щото-б на кшалт навіть радіусу з зовнішньою авторизацією було-б непогано. Але, але.
Доступ только с рабочих ноутов через VPN с двухфакторной авторизацией через authenticator на телефоне.
Да забув, 2FA в OpenVPN є майже з "коробки", це з усіх боків краще, ніж статичний IP. У мене цей варіант не запущений, оскільки клієнт OpenVPN працює як сервіс, а для вводу OTP-пароля потрібен інтерактивний режим, що змінить нашу концепцію - ніякого доступу до локальних ресурсів у користувача.
Для RDP наявні OpenSource рішення для 2FA, наприклад PrivaceIdea.
Не совсем понятно, что вам даст доступ только с определенных статических адресов, это что, панацея от взлома устройства, с которого происходит доступ на сервак? У нас на работе удаленка через ВПН, ВПН только на рабочих ноутах, с других устройств подключиться к серваку нельзя, но при этом с рабочего ноута можно через любой интернет подключиться, иначе как работать в блекаут, когда проводной интернет ложится?
Доступ только с рабочих ноутов через VPN с двухфакторной авторизацией через authenticator на телефоне. Ноуты закрыты наглухо, без юсб и блютузов. Но инет любой, конечно, мало ли откуда нужно работать
Далеко не всім необхідний такий рівень параної. Судячи з опису ТС - грошей немає, сервак в кладовці - такого не треба. Треба закрити зовнішні порти від зламу. Як я розумію, зараз ремоут слухає зовнішній порт без захисту. І туди вже пів-китаю ломиться без зупинки. ВПН, як на мене, закриває цю діру.
Не совсем понятно, что вам даст доступ только с определенных статических адресов, это что, панацея от взлома устройства, с которого происходит доступ на сервак? У нас на работе удаленка через ВПН, ВПН только на рабочих ноутах, с других устройств подключиться к серваку нельзя, но при этом с рабочего ноута можно через любой интернет подключиться, иначе как работать в блекаут, когда проводной интернет ложится?
Доступ только с рабочих ноутов через VPN с двухфакторной авторизацией через authenticator на телефоне. Ноуты закрыты наглухо, без юсб и блютузов. Но инет любой, конечно, мало ли откуда нужно работать
Далеко не всім необхідний такий рівень параної. Судячи з опису ТС - грошей немає, сервак в кладовці - такого не треба. Треба закрити зовнішні порти від зламу. Як я розумію, зараз ремоут слухає зовнішній порт без захисту. І туди вже пів-китаю ломиться без зупинки. ВПН, як на мене, закриває цю діру.
Приблизительно так и есть.
З урахуванням грошей нема. Рекомендую ознайомитися.
За останні 15 років у серверній частині RDP (Remote Desktop Protocol) було виявлено кілька критичних вразливостей, які могли призводити до серйозних наслідків, таких як віддалене виконання коду, несанкціонований доступ або відмову в обслуговуванні. Серед найсуттєвіших:
### 1. **BlueKeep (CVE-2019-0708)** – травень 2019 - **Тип**: Віддалене виконання коду (Remote Code Execution, RCE) - **Суть**: Вразливість у попередній автентифікації дозволяла виконати довільний код, надіславши спеціально створений пакет RDP. - **Серйозність**: Критична (wormable — можливість самостійного поширення) - **Уражені системи**: Windows XP, Windows Server 2003, Windows 7, Windows Server 2008, Windows Server 2008 R2 - **Рішення**: Встановлення оновлення, обмеження доступу до RDP
---
### 2. **DejaBlue (CVE-2019-1181, CVE-2019-1182)** – серпень 2019 - **Тип**: Віддалене виконання коду (RCE) - **Суть**: Подібна до BlueKeep, але торкалася новіших версій Windows. - **Серйозність**: Критична, також wormable - **Уражені системи**: Windows 7, Windows Server 2008 R2, Windows Server 2012, 2016, 2019, Windows 10 - **Рішення**: Негайне оновлення ОС, застосування патчів Microsoft.
---
### 3. **CVE-2012-0002 ("MS12-020")** – березень 2012 - **Тип**: Віддалене виконання коду (RCE), DoS - **Суть**: Помилка в обробці пакетів дозволяла виконати код або викликати відмову в обслуговуванні. - **Серйозність**: Критична - **Уражені системи**: Windows XP, Vista, 7, Server 2003, 2008 - **Рішення**: Встановлення патча MS12-020, застосування Network Level Authentication (NLA).
---
### 4. **CredSSP Remote Code Execution (CVE-2018-0886)** – березень 2018 - **Тип**: RCE через вразливість CredSSP (протокол автентифікації, який використовується в RDP) - **Суть**: Дозволяла атакуючому здійснити man-in-the-middle атаку і виконати віддалений код під час процесу автентифікації. - **Серйозність**: Висока - **Уражені системи**: Windows 7+, Windows Server 2008 R2+ - **Рішення**: Встановлення оновлення безпеки, обмеження доступу.
---
### 5. **PrintNightmare (CVE-2021-34527)** – червень-липень 2021 - **Тип**: Віддалене виконання коду, ескалація привілеїв через службу друку Windows (Print Spooler) - **Суть**: Уразливість дозволяла атакуючому отримати контроль над системою через службу друку, яка часто була доступна через RDP. - **Серйозність**: Критична - **Уражені системи**: Windows Server 2008, 2012, 2016, 2019, Windows 7, 8.1, 10 - **Рішення**: Патчі, вимкнення Print Spooler там, де він не потрібний.
---
### 6. **CVE-2022-21990 (RDP RCE vulnerability)** – березень 2022 - **Тип**: Віддалене виконання коду через RDP-сервер - **Суть**: Вразливість дозволяла атакуючому віддалено виконувати код на сервері RDP після успішного встановлення з'єднання. - **Серйозність**: Висока - **Уражені системи**: Windows Server 2012, 2016, 2019, Windows 10 - **Рішення**: Негайне оновлення ОС, налаштування безпеки з'єднань.
---
## Інші важливі заходи безпеки, що були впроваджені за останні 15 років:
- Запровадження **Network Level Authentication (NLA)** (починаючи з Windows Vista/Server 2008) як засіб захисту RDP. - Покращення криптографічних алгоритмів шифрування для RDP (TLS 1.2+). - Рекомендації Microsoft щодо обмеження доступу до RDP-сервісу за допомогою firewall або VPN.
---
Ці перелічені вразливості стали причиною численних атак у реальному житті, зокрема BlueKeep і DejaBlue вважалися найбільш серйозними через можливість створення шкідливого ПЗ, здатного поширюватися без втручання користувача (wormable).
Найкращий спосіб захисту від таких атак— це своєчасне оновлення ОС і обмеження доступу до RDP на мережевому рівні.
Та мені то розповідати не треба... А офісу схоже пофіг - сьогодні знов вислуховував "чому новини на сайті не оновив". На відповідь що займався безпекою - воно нікому не треба, нам новини потрібніші. А як щось падає, так я винен. І за весь цей цирк платити ніхто не збирається навіть премію фкусь мінімальну.
Дякую за стислий текст
Народ, а накидайте мыслей как чтото соорудить.
Та мені то розповідати не треба...
Ви все ще намагаєтесь допомагати?
займався безпекою
так безпеку хоч зробив?
займався безпекою
так безпеку хоч зробив?
А надовго? Поки лазять як хочуть, то хіба що поміняти паролі на шарах, покіляти скомпрометовані лінки та поробити нові.
Сам підхід задовбав. Кажу хоч трохи краще залізо треба розділити юзерів та сервіси - по х всім. Шеф сказав всім надати статичні адреси... Вгадай скільки це зробило??? Тому я з вами розмірковую над проблемою... а от буду я щось робити вже під питанням.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
