Windows 2008 login képernyő biztonságosabban..
A Vistából örökölt logon screen-t ne hagyjuk a Windows Server bejelentkezőképernyőjének! Óriási biztonsági rés!! Mert gondoljunk csak bele.. jön egy kezdő kis hackerpalánta, portscannel, megtalálja az RDP-t és bepróbálkozik.. mit lát? Kilistázva a távolról használható user neveket. Báhhhh.. ez mi? Hogy lehet ilyen policyje defaultbol egy szervernek? Már csak a jelszóból kell 10000000000 kombinációt végigpróbálnia és paff mindennek vége, ha nem elég erős a jelszavunk. Én pl. eleve letiltom az alapértelmezett “Rendszergazda” vagy “Administrator” felhasználónevek távoli hozzáférését, de ha ilyen a bejelentkező képernyő, hiába adtam meg valami furfangos nevet a remote useremnek, neki már csak a jelszóval lesz dolga.
Az Administrator usert Remote Desktop Protocolon, azaz a Terminal Services-en keresztül a következő képpen blokkolhatjuk:
Hozzunk létre egy új felhasználót amit ezentúl a távoli eléréshez használunk (legyen Administrator típusú az account). Például: RemoteUser53
A RemoteUser53 usert adjuk hozzá a Local Users and Groups / Groups / Remote Desktop Users Group-hoz!
Local Security Policy: Local Policies / User Rights Assignment / Allow log on through Terminal Services: távolítsuk el az Administrators groupot, majd a
Local Users and Groups / Groups / Remote Desktop Users Group-ból töröljük az Administrator-t.
Távoli asztal hozzáférésnél óvatosan csináljuk ezeket, főleg ha több száz kilóméterre van a szerver!
Ok, lehet, hogy az ügyesebb haxorok már tudnak mondjuk SID listát is kinyerni még bejelentkezés előtt.. de ők valószínűleg úgysem bruteforceolni fognak és magasról leszarják mi van az RDP képernyőn..
Tehát a bejelentkezési képernyő megváltoztatása:
Local Security Policy MMC konzolon:
A Local Policies / Security Options / Interactive logon: Do not display last user name : Enabledés
Local Policies / Security Options / Interactive logon: Do not require CTRL+ALT+DEL : Disabledértékeket állítsuk be!
A GPO-k frissülése eltarthat egy darabig, ezért vagy újraindítjuk vagy nyomunk parancssorban egy gpupdate /force-ot.
Még van egy-két ilyen alapvető dolog, majd postolok egy-két tanulságos történetet..
One Response to “Windows 2008 login képernyő biztonságosabban..”
Leave a Reply
Automatic Scuttle Submitter on May 19th, 2010
Automatic Scuttle Submitter is 100% automatic social bookmarking software designed to submit your domains to thousands of Scuttle sites. Not only Automatic Scuttle Submitter creates accounts and bookmarks sites automatically, but also parses meta tags for each URL and runs itself in background without any user interaction.