אבטחה של מחשב מרוחק

מעלה ומוריד

יצרתי דרך Azure של מיקרוסופט מחשב מרוחק
אני מתחבר אליו דרך RDP
כי אני צריך את הממשק של המחשב
הבנתי שיש סכנות גדולות בפתיחת השרת לחיבור דרך RDP?
האם יש מה לעשות בנידון? סיסמה חזקה?
אני לא מבין בזה כלום ואני רוצה לשים שם מידע חשוב, לא רוצה להסתכן

אשמח למידע, תודה רבה!

חגי

בתור התחלה והכי חשוב - לעדכן את ווינדוס על השרת תדיר.
אחרי זה אתה יכול להוסיף חוקים בazure או בשרת עצמו לא לתת גישה לכתובות אייפי שאינן ישראליות וכל מיני פתרונות יצירתיים אחרים.

avramk

@מעלה-ומוריד מסוכן מאד, עדיפות א. להתחבר בVPN
ב. רשימה לבנה של IP'S
ג. שינוי פורט ההתחברות לפורט מעל 50000
ד. שימוש בתוכנה כמו rdp defender וכו' שמגבילה נסיונות חיבור כושלים של משתמש

זה בתור הקדמה להתחלה..

חוקר

@avramk כתב באבטחה של מחשב מרוחק:

ג. שינוי פורט ההתחברות לפורט מעל 50000

מה העניין בדווקא במספר הזה?

avramk

@חוקר כתב באבטחה של מחשב מרוחק:

@avramk כתב באבטחה של מחשב מרוחק:

ג. שינוי פורט ההתחברות לפורט מעל 50000

מה העניין בדווקא במספר הזה?

זה נקרא שפחות תוקפים פורטים גבוהים כמובן שזה לא ממש נכון אבל זה משמעותי

מעלה ומוריד

בעצם אם אני מגביל כניסה של כתובות אייפי רק לכתובת האייפי שלי זה צעד שובר שוויון?

@חגי כתב באבטחה של מחשב מרוחק:

לא לתת גישה לכתובות אייפי שאינן ישראליות

למה בעצם לא לחסום הכל חוץ מהאייפי שלי?

dovid

@מעלה-ומוריד מה שאני הייתי עושה זה סיסמה קשה (ואם ממש מפחיד אותי אז גם הגבלת טווח אייפי).
בהצלחה.

חגי

@מעלה-ומוריד כתב באבטחה של מחשב מרוחק:

למה בעצם לא לחסום הכל חוץ מהאייפי שלי?

אם זה שייך, לרוב הכתובת שלך לא קבועה.

מעלה ומוריד

@avramk כתב באבטחה של מחשב מרוחק:

עדיפות א. להתחבר בVPN

אשמח להסבר קצר על זה, בכל מקרה אני בנטפרי ואין לי VPN
האם זו סיבה מספקת לבקש אותו?
או שלא הבנתי נכון את העניין.

האם אני יכול לאסור את כל שאר הכניסות שבתמונה מלבד הRDP שמוגבל לIP שלי ושלו' עלי נפשי?

נ.ב. אני לא מבין בזה כלום
ואני מתאמץ כן להבין ולבצע כהוגן
ואני מודה אישית לכל אחד שמוכן לרדת לפרטים ולעזור לי

מעלה ומוריד

@חגי לא איכפת לי לשנות את הכלל כאשר אני מגלה שאין לי גישה כי האייפי שלי השתנה...

@dovid נשמע מדבריך שאני יכול להיות רגוע אחרי שני צעדים אלו?

תודה רבה לכולם על העזרה

mekev

@מעלה-ומוריד כתב באבטחה של מחשב מרוחק:

לא איכפת לי לשנות את הכלל כאשר אני מגלה שאין לי גישה כי האייפי שלי השתנה...

איך תצליח להכנס לשנות את הכלל?
בשביל זה תצטרך להכנס מהכתובת אייפי שהגדרת - וכאמור, כרגע אין לך אותה
ואז תפרסם מודעות 'מי מוכן לבדוק האם האייפי שלו זה 100.100.100.2'
ומוכן לאפשר לי לגלוש ממנו לכמה דק' לסדר משהו...

מעלה ומוריד

@mekev את הכלל אני משנה בממשק ניהול השרת בAzure לשם אני נכנס עם שם משתמש וסיסמה מכל מקום
אני טועה?

dovid

@מעלה-ומוריד אתה לא טועה, תהייתו של @mekev היא על מקרה של כזו חסימה בתוך המכונה עצמה ואז זה לטרוק את הדלת על המפתחות.
וכן, אני רגוע עם סיסמה קשה למרות הסיפורים מסמרי השיער.
ובקשר לאייפי בנטפרי בגלל האופן הטכני בו הדברים עבודים הוא עם אורך חיים מרשים, וכפי שאמרת אפשר גם לשנות בקלות.

avramk

@dovid כתב באבטחה של מחשב מרוחק:

וכן, אני רגוע עם סיסמה קשה למרות הסיפורים מסמרי השיער.

זה ברור שאם אין לך שום מנגנון של file 2 ban וכו' אז אין לך בכלל מה להיות רגוע

avramk

@מעלה-ומוריד הגבלת כניסות לפי IP זה בהחלט אפשרות טובה. יצויין שפרוטוקול RDP במידה ויש לך וירוס כופר וכדו במחשב ואתה מחובר באותו זמן לשרת הוירוס לרוב יעבור גם לשרת. אלא אם יש הגבלות בGP וכדו'
הייתי ממליץ אגב בחום על אימות דו שלבי לRDP של protectimus שלצרכים שלך הם חינמיים (עד10 יוזרים)
אם תצטרך עזרה בזה אוכל לסייע

נ.ב רלוונטי ביותר למחזיקי מכשיר כשר בלבד = קוד אימות לדוא"ל