Windows XP uchun masofaviy ish stolini himoyalash

Source: http://www.mobydisk.com/techres/securing_remote_desktop.html

William Garrison

Masofali kompyuter, noto’g’ri

Ko’pchilik o’z shaxsiy kompyuterlariga qulay foydalanish uchun Windows XP Professional masofaviy ish stoli xususiyatidan foydalanadi. Ammo tizimingizda administrator hisobiga ulanishni ochish juda xavflidir. Faqatgina mening xavfsizlik devorimdagi portni ochib, turli mamlakatlardan bir hafta ichida bir nechta kirishga harakat qildim. Windows-ning uzoq ish stoliga ulanishda xakerlarga yordam beradigan bepul vositalar mavjud. Yaxshiyamki, o’zingizni himoya qilish uchun bir necha oddiy qadamlar mavjud:

Masofali stol, ishonch bilan

Masofadan kira oladigan foydalanuvchilarni cheklang

Birinchidan, faqat muayyan foydalanuvchilarga masofaviy ish stoliga ruxsat berish. Boshqarish paneliga, keyin tizimga, so’ng masofadagi yorlig’iga o’ting.

Screen shot showing remote desktop control panel tab

U yerdan “Foydalanuvchilarga ushbu kompyuterga masofadan ulanishga ruxsat bering.” Keyin “Remote Users ni tanlang.” Tugmasini bosing.

Screen shot showing remote desktop screen

Bu erda faqat masofadan turib kirishni xohlagan foydalanuvchilarni qo’shing. Agar siz juda xavfsiz bo’lsangiz, uni standart foydalanuvchi hisobiga o’rnatishingiz mumkin va o’zingizni oddiy foydalanuvchi sifatida ishlashga majbur qilishingiz mumkin. Windows dasturini ishga tushirish juda qiyin, chunki ko’pchilik dasturlarda Administrator huquqi bor, shuning uchun men ushbu qarorni sizga qoldiraman.

Afsuski, siz, deb sozlama narsa qilganim yo’q! Siz hali ham har qanday rahbar sifatida qayd kirishingiz mumkin, deb topasiz. Foydalanuvchining bu haqiqatni yashirish esa iloji bo’lmaganda xavfsiz muhitda uchun murakkab narsalarni, Microsoft asl qadriyatlarini qilish uchun. Siz o’zgartirish uchun boshqa joyga borish kerak bo’ladi haqiqiy ro’yxatini. Start tugmasini bosing – Dasturlar – Ma’muriy Tools – Mahalliy xavfsizlik siyosati. Agar uni topa olmasangiz, siz ham boshlanadi Mumkin – Yugurish – kiriting “%SystemRoot%\system32\secpol.msc /s” – Ok.

Screen shot showing local security settings

Mahalliy siyosatlar – foydalanuvchi huquqlarini belgilash ostida, “Terminal xizmatlari orqali kirishga ruxsat berish” degan bir qator bor. Buning yonida “Administratorlar, Uzoq Kompyuter Ishlatuvchilari”. Aha! Afsuski, u boshqa ekrandagi “Administratorlar” ni ko’rsatmadi. Ushbu sozlamani ikki marta bosib, “Administratorlar” ni olib tashlang. Agar administratorning ruxsat olishini xohlasangiz, ularni boshqa ekran orqali aniq qo’shing.

Screen shot showing Terminal Services users

Hisobni qulflash siyosatini o’rnatish

Parolni kiritish va masofadan turib kirish uchun qo’pol kuch ishlatadigan vositalar allaqachon mavjud. Buni to’xtata olmaysiz, lekin hisobni qulflash siyosatini o’rnatish orqali uni minimallashtirish mumkin. Agar kimdir parolni topishga harakat qilsa, unda bir necha taxminlardan so’ng ular bir muddat qulflanadi. Bu soat yoki kunlarni taxmin qilish asrlar bo’lishiga olib keladi. Bu sizning tizimingizda qo’pol kuch ishlatishga sabab bo’ladi.

Xuddi shu Mahalliy xavfsizlik siyosati ekranidan oldin, Hisob siyosati – Hisobni qulflash siyosatiga o’ting.

Screen shot showing a minimal account lockout policy

Hisob qaydnomasi threshold: Ushbu foydalanuvchi qulflangan-tashqarida oldin muvaffaqiyatsiz kirish urinishlari soni. Uch odatda kimdir sindirish uchun harakat qilmoqda ko’rsatish uchun etarli bo’ladi.

Keyin hisob qaydnomasi hisoblagich o’rnatish: tipik uy tizimi uchun, bir xil bo’lishi uchun, bu xususiyatlarini belgilash Hisobni qulflash Vaqti  quyida.

Hisob qaydnomasi davomiyligi: Ushbu foydalanuvchi bir necha muvaffaqiyatsiz urinishlar so’ng tizimga olmaslar qancha vaqt hisoblanadi. Hatto bir necha daqiqa sezilarli darajada uzoq bir hayvon-kuch hujum ehtimoli kamaytiradi. A uy tizimi uchun, yana bir necha daqiqadan ko’proq asab solishi ham mumkin. Siz hisob qulflangan-out, chunki parol taxmin ba’zi joker topish uyga kelib mumkin. O’z bag’rikenglik uchun xususiyatlarini o’zgartirish. Nolga Ushbu qiymat qo’l himoyasi qadar hisob qulflash uchun, degan ma’noni anglatadi.

Hisobni qo’lda qulfini ochish uchun siz boshqa administrator foydalanuvchi sifatida kirishingiz kerak (preferensiyani masofaviy ish stoliga ruxsat bermasdan). Keyin Boshlash – Dasturlar – Administrativ Asboblar – Kompyuter boshqaruvi – Mahalliy foydalanuvchilar va Guruhlarga o’ting. Yagona foydalanuvchi ustiga bosing va “hisob o’chirilgan” katagiga belgi qo’ying. Keyin o’sha foydalanuvchi sifatida kirishingiz mumkin.

Screen shot showing the 'Account is disabled' checkbox on the user property page

Parolni va 128-bitli shifrlashni talab qiling

Eski, zaif, kam ishonchli mijozlar bilan moslashish uchun, Windows XP standartlari masofaviy ish stoli ulanishlarida minimal yoki hech qanday shifrlash imkonini bermaydi. Agar eski dasturiy ta’minot bilan bog’lanayotgan bo’lsangiz, uni yangilang. PocketPC Terminal xizmatlari mijozi bilan bog’lanayotgan bo’lsangiz, ushbu sozlama siz uchun ishlamaydi, chunki u mijoz yuqori shifrlashni qo’llab-quvvatlamaydi. 🙁

Ishga tushirish – ishga tushirish tugmasini bosing – “%SystemRoot%\system32\gpedit.msc /s” guruh siyosati tahrirlovchisiga kirish uchun. U erdan qanchalik osonroq bo’lishini bilmayman, shuning uchun administratorlar uchun simvol qo’shishni xohlashingiz mumkin.

Bu yerdan kompyuter konfiguratsiyasi – administrativ shablonlarni – Windows komponentlari – terminal xizmatlari – shifrlash va xavfsizlik bo’limiga o’ting.

Screen shot showing Terminal Services Security settings in the Group Policy

Siz mijozni 128-bitli xavfsizlikni ishlatishga majbur qilish uchun “Moslashtirilmagan” dan “Faol” va “Yuqori darajali” dan “Mijozlar aloqasi shifrlash darajasini o’rnatish” ni o’zgartirishingiz mumkin. Bu sizning parollaringizni va terminalda xizmat ko’rsatish seansi vaqtida uzatilgan narsalarni himoya qiladi.

“Har doim mijozga parolni so’ralganda bog’lanish” funksiyasi yoqilganda, masofali foydalanuvchining mijoz kompyuterdagi parolni saqlab qolishini va parol so’ralmasligini oldini oladi. Parolni saqlash, odatda, parol boshqa kompyuterda bo’lgani uchun va bu foydalanuvchini unutib qo’yishi mumkin bo’lganligi uchun xavfli parametrdir.

TCP portini o’zgartiring

Terminal xizmatlari portini 3389-dan boshqa portga ko’chirishingiz mumkin HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

So’ngra siz tizimga ulanganingizda portni ko’rsatishingiz kerak. O’xshash narsalar bilan bog’laning “my.computerathome.com:1234” ning o’rniga “my.computerathome.com”

IP-manzil Oq ro’yxat

Windows Xavfsizlik devori sizning IP manzillaringizni uzoq stolga kirishni cheklash imkonini beradi. Buning uchun Boshqarish panelini oching va Windows Xavfsizlik devorini ishga tushiring. Maxsus vaziyatlar yorlig’ini tanlang va “Uzoq Kompyuter” tekshirilganligini tekshiring.

Windows Firewall control panel screen shot

“Tartibga solish” tugmasini bosing va TCP portlarining ro’yxatini ko’rasiz. Windows Xavfsizlik devori Remote ish stoli 3389 portida joylashganligini ta’kidlaydi. Port raqamini o’zgartirgan bo’lsangiz, ushbu ekranni bekor qilishingiz kerak va uning o’rniga “Port qo’shish” tugmasini bosing va siz foydalanadigan port raqamini kiriting.

Windows Firewall TCP port screen shot

“Tortib olsa o’zgartirish” tugmasini bosing. Bu ekranda, mahalliy tarmoqqa yoki IP manzillar, ma’lum bir vositasi uchun cheklab qo’yishi mumkin.

Tufayli Nik bu uchi uchun!

Windows Firewall IP address edit screen

MITM hujumiga yo’l qo’ymaslik

Masofadan ish stoli ko’p sodda VNC tatbiqlari ko’ra u ko’proq xavfsiz qiladi, shifrlangan. Biroq, qo’shimcha xavfsizlik holda masofaviy ish stoli bir zaif bo’lgan odam-in-o’rta hujum u SSL/SSH kabi server aniqlashda bir sertifikat ishlatish emas, chunki. Bu masofadan ish stoli orqali sizning tizimiga ulash bo’lsa, suhbat qayd emas va parollar sessiyasi shifrlangan bo’lsa-da, xavfsiz bo’lishi uchun kafolatlangan emas hech qanday kafolat yo’q, degan ma’noni anglatadi.

Windows XP, uzoq ish stoli bilan xavfsiz sertifikatlar uchun hech ajralmas qo’llab-quvvatlash bor. Shuning uchun, siz foydalanishingiz kerak, bu xavfsizlik teshik o’chirish uchun bir VNC ulanishi orqali SSH tunnel. Biroq, Windows Server 2003 TLS orqali xavfsizlik autentifikatsiya qo’llab-quvvatlaydi terminal xizmatlari rivojlangan versiyasini taqdim etadi. Bu ish uchun, siz yordamida lozim Uzoq Kompyuter mijozi dasturlarining yangilangan versiyasini. Bundan tashqari, Windows Server 2003 konfiguratsiya kerak  sertifikat foydalanish Microsoft Axborot bazasi maqolada aytilganidek.

Monitor log fayllari

Voqe’er Tomoshabin, ro’yxatdan o’tishingiz muvaffaqiyatsiz kirish urinishlari va hisob qulflashlari qayd qiladi. Har qanday birovga kirishga harakat qilayotganini tekshirish uchun uni vaqti-vaqti bilan tekshirib ko’rishingiz mumkin. Xavfsizlik devoringiz jurnallar saqlayotgan bo’lsa (Windows Xavfsizlik devori ishlaydi), siz ulardan birini ulanishga harakat qilishini ko’rish uchun foydalanishingiz mumkin.