Windows 2008 login képernyő biztonságosabban..

A Vistából örökölt logon screen-t ne hagyjuk a Windows Server bejelentkezőképernyőjének! Óriási biztonsági rés!!  Mert gondoljunk csak bele.. jön egy kezdő kis hackerpalánta, portscannel, megtalálja az RDP-t és bepróbálkozik.. mit lát? Kilistázva a távolról használható user neveket. Báhhhh.. ez mi? Hogy lehet ilyen policyje defaultbol egy szervernek? Már csak a jelszóból kell 10000000000 kombinációt végigpróbálnia és paff mindennek vége, ha nem elég erős a jelszavunk. Én pl. eleve letiltom az alapértelmezett “Rendszergazda” vagy “Administrator” felhasználónevek távoli hozzáférését, de ha ilyen a bejelentkező képernyő, hiába adtam meg valami furfangos nevet a remote useremnek, neki már csak a jelszóval lesz dolga.

Az Administrator usert Remote Desktop Protocolon, azaz a Terminal Services-en keresztül a következő képpen blokkolhatjuk:

Hozzunk létre egy új felhasználót amit ezentúl a távoli eléréshez használunk (legyen Administrator típusú az account). Például: RemoteUser53
A RemoteUser53 usert adjuk hozzá a Local Users and Groups / Groups / Remote Desktop Users Group-hoz!
Local Security Policy: Local Policies / User Rights Assignment / Allow log on through Terminal Services: távolítsuk el az Administrators groupot, majd a
Local Users and Groups / Groups / Remote Desktop Users Group-ból töröljük az Administrator-t.
Távoli asztal hozzáférésnél óvatosan csináljuk ezeket, főleg ha több száz kilóméterre van a szerver!

Ok, lehet, hogy az ügyesebb haxorok már tudnak mondjuk SID listát is kinyerni még bejelentkezés előtt.. de ők valószínűleg úgysem bruteforceolni fognak és magasról leszarják mi van az RDP képernyőn..

Tehát a bejelentkezési képernyő megváltoztatása:

Local Security Policy MMC konzolon:

és

értékeket állítsuk be!

A GPO-k frissülése eltarthat egy darabig, ezért vagy újraindítjuk vagy nyomunk parancssorban egy gpupdate /force-ot.

Még van egy-két ilyen alapvető dolog, majd postolok egy-két tanulságos történetet..