У нас есть сервер Windows 2012 R2, размещенный в центре обработки данных, и мы используем RDP для его администрирования. Включены автоматические обновления.
Вход RDP не разрешен для учетной записи администратора, и есть несколько учетных записей пользователей с включенным RDP.
Недавно я обнаружил в журналах, что продолжалась атака грубой силы, нацеленная на одну из учетных записей, которые действительно существуют на сервере. Заглянув глубже в журналы, я обнаружил, что в последнее время целью было как минимум 3 аккаунта. И это не может быть совпадением, поскольку имена в аккаунте сложны.
Теперь я ограничил подключение к IP-адресам моей компании, и проблема решена (я знаю, что это должно было быть сделано раньше, но у нас были причины не делать этого).
Однако мне все еще интересно, как злоумышленникам удалось получить имена учетных записей. Это известный недостаток безопасности RDP?
РЕДАКТИРОВАТЬ: Есть несколько элементов, которые я не упомянул: этот сервер является виртуальной машиной, и как эта виртуальная машина, так и гипервизор (также Windows 2012 R2) находятся за маршрутизатором и имеют один и тот же общедоступный IP-адрес. RDP преобразован с помощью NAT с общедоступным портом, который не является портом по умолчанию, и это единственный порт с NAT. На этом компьютере находится HTTP-сервер (пустельга), доступ к которому возможен только через обратный прокси-сервер (nginx), установленный на другом компьютере.