Безопасный Windows Server: защита SMB и RDP на практике

Содержание

Через RDP и SMB серверы и VPS атакуют чаще всего. В статье рассказываем, как настроить защиту правильно: отключить SMBv1, включить подпись пакетов, ограничить RDP, добавить IPsec.

Введение

Windows Server широко используется для обмена файлами и удалённого администрирования, и в этом помогают протоколы SMB и RDP. Однако именно через эти сервисы злоумышленники часто проникают в систему. Без должной настройки безопасности ваш сервер рискует стать лёгкой добычей.

В статье рассказали, как настроить защиту Windows Server от атак через SMB и RDP. Объяснили, как с помощью групповых политик отключить устаревший SMBv1 и включить проверку подлинности SMB, как ограничить доступ к удалённому рабочему столу RDP и усилить его защиту.

Аренда VPS/VDS — от ₽219/месяц

Почему выбирают VPS от AdminVPS:

✓ Дешевле физического сервера

✓ Более гибкий и мощный, чем обычный хостинг

✓ Бесплатная защита от DDoS и техподдержка 24/7

✓ Масштабируется под любые задачи

Виртуальный сервер VPS/VDS — ваш личный сервер для сайтов, магазинов, ботов и других проектов.

Причины атак через SMB и RDP

SMB (Server Message Block) — протокол файлообмена в Windows-сетях. Он позволяет компьютерам в сети совместно использовать файлы и принтеры. Но старые версии SMB содержали критические уязвимости. В 2017 году эпидемия WannaCry продемонстрировала, как опасен открытый SMB: червь обнаружил в Интернете множество серверов с включённым SMBv1 и проник внутрь без пароля, зашифровав данные. Даже актуальные версии SMB могут представлять риск, если не ограничить их использование. Вредонос способен распространяться по сети через незакрытые общие папки или использовать перехват трафика (атака “man-in-the-middle”), когда отсутствуют механизмы подписывания пакетов.

RDP (Remote Desktop Protocol) — стандартное средство удалённого доступа к рабочему столу Windows. Для системных администраторов это незаменимый инструмент, но он же превратился в излюбленную цель хакеров. Если открыть RDP-сервер (TCP порт 3389) в Интернет, боты тут же начнут подбор пароля. К сожалению, нередко на серверах стоят ненадёжные учётные данные или вообще разрешены подключения с пустым паролем. Успешно взломав RDP, злоумышленник получает права администратора на сервере, после чего способен отключить защиту, украсть данные или развернуть вымогательское ПО. В реальных инцидентах злоумышленники после взлома RDP через открытые SMB-соединения стремительно заражали остальные машины. Небезопасные настройки RDP и SMB взаимно усугубляют последствия атаки.

Настройка безопасного SMB

Для начала стоит убедиться, что на сервере не используется устаревший протокол SMB версии 1. Эта версия не поддерживает современные механизмы безопасности и крайне уязвима. Начиная с Windows Server 2016, SMBv1 по умолчанию отключён, но если система обновлялась с более ранних версий или вы не уверены, стоит проверить. Отключить SMBv1 можно вручную через PowerShell или реестр. Затем перезагрузите сервер.

В домене лучше отключить SMBv1 централизованно. Для этого создайте новую групповую политику и в её настройках Registry (реестр) добавьте параметр HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 со значением 0. Применив такой GPO на нужные серверы, вы отключите SMBv1 повсеместно.

Современные версии Windows поддерживают цифровую подпись SMB-пакетов. Это не позволит злоумышленнику незаметно подменять или перехватывать файлы по сети. По умолчанию SMB-signing уже активно для контроллеров домена и при соединении новейших клиентов с серверами. Но ради совместимости или скорости эта защита иногда отключается. Рекомендуется через групповые политики убедиться, что подпись SMB обязательна. В настройках локальной безопасности включите политику обязательной цифровой подписи как для сервера (Microsoft network server: ...), так и для клиента (Microsoft network client: ...). После этого и сервер, и клиенты будут требовать проверку подлинности каждого SMB-сообщения. Учтите, что включение SMB signing может немного снизить скорость передачи данных из-за увеличения нагрузки на процессор.

Не оставляйте SMB доступным там, где это не нужно. По умолчанию Windows Firewall блокирует внешние подключения к SMB-портам (TCP 445). Убедитесь, что на границе сети этот протокол тоже фильтруется. На маршрутизаторе или межсетевом экране запретите трафик SMB из Интернета. Если сервер не выполняет роль файлового хранилища, можно вообще отключить у него службу Server (LanmanServer), тогда машина не будет отвечать на SMB-запросы.

Однако в корпоративной среде серверы часто должны обслуживать SMB-запросы от определённых хостов, например, файловый сервер для внутренних клиентов. В таком случае настройте правила файрвола Windows так, чтобы разрешить доступ к SMB только с доверенных IP-адресов или сегментов сети. Сделайте это через правило расширенного брандмауэра (Windows Defender Firewall). Создайте новое входящее правило для порта 445: разрешите подключения только с нужных IP-адресов или подсетей, а все остальные заблокируйте. Если кто-то внутри сети или извне попытается сканировать порт 445, сервер не ответит, если запрос не от доверенного узла.

Настройка безопасного RDP

RDP не должен быть доступен из Интернета напрямую. Безопаснее использовать VPN или шлюз удалённых рабочих столов, они добавляют дополнительный слой защиты. Если обходных путей нет, стоит хотя бы ограничить круг IP-адресов, с которых разрешены подключения. Например, указать в файрволе только домашний и офисный IP. Такое правило для порта TCP 3389 можно создать в Windows Firewall, просто указав разрешённые диапазоны. Даже простая фильтрация по IP резко снижает число автоматических атак.

Чтобы усилить защиту, включите проверку подлинности на сетевом уровне, Network Level Authentication. Эта опция не позволит начать RDP-сессию без предваренной аутентификации, а значит, злоумышленник не сможет просто открыть окно входа и начать перебор паролей. В новых версиях Windows Server NLA активна по умолчанию, но лучше убедиться: в настройках удалённого доступа должна быть отмечена галочка «Разрешать подключения только с проверкой подлинности на уровне сети».

Также необходимо позаботиться о паролях. Ни одна учётная запись, допущенная к RDP, не должна быть с пустым или простым паролем. На контроллере домена стоит включить политику, запрещающую вход по сети при пустом пароле, а для всех серверов задать политику блокировки учётной записи. Например, после пяти неудачных попыток авторизации доступ блокируется на 30 минут. Это поможет остановить перебор, не давая атакующему бесконечно подбирать пароль. Настройки находятся в разделе Account Policies → Account Lockout Policy.

Сам список пользователей с правом входа по RDP тоже стоит пересмотреть. По умолчанию к серверу имеют доступ и администраторы, и группа «Пользователи удалённого рабочего стола». Лучше создать отдельную группу, добавить в неё только нужные учётки и в политиках безопасности разрешить RDP только этой группе. Это поможет избежать случайного входа через забытую или незащищённую учётную запись.

Для дополнительных гарантий можно изолировать соединения по IPsec. На сервере задаётся правило: доступ к порту 3389 разрешён только при Kerberos-аутентификации и только с указанных машин. Режим «Allow only if secure» в файрволе вместе с Connection Security Rules исключает подключение даже при верных логине и пароле, если устройство не в списке доверенных. Такое ограничение заметно усиливает защиту, особенно в корпоративной среде.

Заключение

Правильная настройка SMB и RDP — обязательный пункт в чек-листе безопасности Windows Server. Выполнение этих шагов значительно уменьшит поверхность атаки и защитит сервер от большинства типовых угроз. Главное относиться к удалённому доступу и обмену файлами с той же серьёзностью, что и к физической безопасности: закрывать все двери и окна, давать ключи только тем, кому положено. Тогда злоумышленникам будет крайне сложно прорваться через SMB или RDP, и ваш сервер останется надёжно защищённым.

Читайте в блоге: