Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов

info@vsetut.pro

Стать автором

Вернуться

15.09.2025 13:20:13 | Хабр

Хабы: Информационная безопасность, Серверное администрирование, Windows

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки.

Про IPSec много написано, поэтому здесь только настройки.

В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам).

Первый компьютер с именем StorageServer и ip адресом 17.17.17.200, данный компьютер находится в домене st.local, на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности.

Второй компьютер с именем adminivan и ip адресом 17.17.17.17, данный компьютер находится в домене st.local, c которого администратор подключается с учётной записью storageadmin.

Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory. Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA.

Запускаем на StorageServer wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

Подробнее