Мы запускаем экземпляр Amazon EC2 Windows и недавно получили электронное письмо от Amazon, предупреждающее нас о том, что RDP открыт для всех и что существует новая угроза, которая может воспользоваться этим.
Группа безопасности рассматриваемого сервера разрешает доступ к RDP с любого IP-адреса (0.0.0.0/0). У нас есть несколько человек, использующих RDP на этих серверах из разных мест, некоторые из которых имеют динамические IP-адреса, поэтому установка списка разрешенных IP-адресов не является решением.
Есть ли другое решение для предотвращения доступа к RDP?
Если у вас нет паролей в сочетании с именами пользователей из этого списка:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FMorto.A
Ты должен быть в порядке с моей учетной записью
Во-первых, червь на самом деле не использует уязвимость в протоколе RDP, а только слабые пароли, и, судя по фактическим данным, это очень короткий и (как ни странно случайный) список имен пользователей и паролей. попытки. Наличие строгой политики паролей значительно снизит защиту от этого червя и любых будущих вариантов.
Сказав это, я бы порекомендовал вам настроить VPN (L2TP / IPSec с предварительными общими ключами или сертификатами, в зависимости от того, сколько вы хотите инвестировать в конфигурацию / инфраструктуру) в Windows Server Roles> Network Policy and Access Services, а затем RDP через сеанс VPN.
Если у вас есть несколько пользователей за одним брандмауэром NAT, было бы лучше настроить Site-to-Site VPN; это также можно сделать с помощью сетевой политики и служб доступа.
Это было бы намного безопаснее, чем оставлять RDP открытым для публики, а с L2TP / IPSec вы используете двухфакторную аутентификацию (предварительный общий ключ или сертификат и вход в Windows).