Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

Win server RDP - проблема с подключением

Статус пользователя Bloo
сообщение 9.9.2016, 21:33
Сообщение #1


Стаж: 10 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

Всем привет!
Тема в продолжении моей головной боли с сервером - ip kvm или удаленное управление на уровне hardware.

Суть в том, что я очень долго игнорировал позывы системы на смену пароля админа, и вот я в итоге дождался. Сегодня при попытке привычно подрубиться к RDP получил веселое окошко:

Причину сия сообщения я конечно понял, система видимо устала ждать смену пароля (хотя я могу ошибаться). Естественно я сразу пустился штудировать гугл (общие причины данной ошибки я конечно же нашел - NLA. Но дело в том, что вот уже несколько лет на данной ОС (Windows Server 2012 R2) никаких проблем с этим не было, по этому я и думаю что дело в длительном отказе от смены пароля, хотя это ведь могут быть какие нибудь неудачные обновления) по данной проблеме, и как ни странно решение ее я нашел. Создал файл подключения и добавил в него параметр "enablecredsspsupport:i:0", данный вопрос он решил, но тут же возник новый.
Дальше я получаю новое сообщение, о том что необходима проверка на уровне сети:

Данную проблему я тоже успешно загуглил, но предложенное решение мне не помогло, а именно:
В реестре, по пути
Код
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

в параметре "Security Packages" указать "tspkg", а по пути
Код
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

в параметр "SecurityProviders" добавить через запятую библиотеку "credssp.dll".
Собственно после всех манипуляций, я все равно получаю ошибку не возможности проверки на уровне сети.
Собственно, есть у кого то какие идеи, как обойти проблему удаленно?

PS Сейчас нашел альтернативный тонкий клиент wtware, как пишут, с ним получится это обойти, но я если честно не надеюсь.
PSS Сейчас понял, что нужно будет подготовить альтернативные варианты удаленного доступа, кто то может подсказать наиболее правильное и безопасное решение? TeamViewer сервисом ставить что то меня не возбуждает, уж больно мейнстримовский софт и как мне кажется может иметь уйму широкоивестных уязвимостей.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
Статус пользователя Aikido
сообщение 9.9.2016, 21:53
Сообщение #2


Стаж: 10 лет

Сообщений: 287
Благодарностей: 326
Полезность: 1102

Меценат Меценат

Ну ты отключил NLA на клиентской машине, но на серверной то требует авторизацию через NLA.
Если пароль учетки просит сменить на клиентской машине откуда подключаешься, то меняй через lusrmgr.msc
Если же просит сменить на серверной машине и есть физический доступ к ней, то также поменяй пасс учетки и поставь галочку в настройки учетки на безлимитный пароль ( или что-то в этом роде ) в том же lusrmgr.msc, проблема должна решиться.

У себя на компе нет смысла отключать NLA, сервер ведь принимает только клиентов через NLA, что и говорит вторая ошибка.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Aikido
сообщение 9.9.2016, 22:03
Сообщение #3


Стаж: 10 лет

Сообщений: 287
Благодарностей: 326
Полезность: 1102

Меценат Меценат

Вот, этот рег-файл отключит NLA на серверной машине:

Код
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fDenyTSConnections"=dword:00000000
"fAllowUnsolicited"=dword:00000001
"fAllowUnsolicitedFullControl"=dword:00000001
"UserAuthentication"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SecurityLayer"=dword:00000001


В свое время отключал NLA на ломанных дедиках =)


Сохрани в расширение .reg


Запускать его соответственно надо на серверной машине, по этому если нет учетки, нужен физический доступ к машине.
И в будущем надо задуматься и добавить дополнительные админские учетки как запасные.

П.С. Извини, не смог отредактировать сообщения, кнопка "Изменить" неактивна ( не нажимается ) почему-то...
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 9.9.2016, 22:35
Сообщение #4


Стаж: 10 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

sllrdp, спасибо, в общем без физ доступа к серверу я так понимаю уже никак не попаду удаленно.
Самое интересное то, что пароль я вроде ствил без ограничения по времени.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Aikido
сообщение 9.9.2016, 22:54
Сообщение #5


Стаж: 10 лет

Сообщений: 287
Благодарностей: 326
Полезность: 1102

Меценат Меценат

Bloo, выходит что да. Нужно отключить NLA на сервере, затем приконектиться, дойдешь до винлогона, а там уже сможешь сменить пасс когда попросит. Странно что ошибка говорит о Перед первым входом в систему..., очень странно, ведь ты говоришь что часто там заходил на терминале. Если сервер на хостинге, напиши хостерам чтобы пасс меняли и отправили новый. После этого проверь lusrmgr.msc на предмет "левых" учеток, возможно дедик стал жертвой брута ( если пароль был легкий ), и кто-то дабы заставить сменить пароль, поставил галочку "При следующего входа просить сменивать пасс" ( что-то в это роде есть там же в настройках ). Если спалишь левые учетки, напиши мне, помогу избавиться от бэкдоров, если кто-то решит их использовать. RDP-протокол очень уязвимый протокол для компьютеров.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 10.9.2016, 0:22
Сообщение #6


Стаж: 10 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

sllrdp, все так, вхожу более менее регулярно с самой установки последней оси, т.к. Win s 2012, сколько стоит не помню, год точно. Сервер стоит хрен знает где, в первом посте есть ссылка на вторую тему, там будет понятно почему подруб исключительно по RDP и физическое присутствие на сервере тяжелая история.

Если из под того же пользователя войдут локально и сменят пасс, я же после этого смогу войти по RDP по новому паролю и все что нужно вырубить? На счет брута сомневаюсь, порт у RDP совсем не стандартный, вряд ли на него попадут случайно.

Завтра должны подъехать к серверу и сменить пароль, дальше буду отрубать NLA, ставить вечный пароль и думать о запасных путях удаленного коннекта.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Aikido
сообщение 10.9.2016, 3:13
Сообщение #7


Стаж: 10 лет

Сообщений: 287
Благодарностей: 326
Полезность: 1102

Меценат Меценат

Цитата
Если из под того же пользователя войдут локально и сменят пасс, я же после этого смогу войти по RDP по новому паролю и все что нужно вырубить?


Да, конечно. Дело в том что по идее в NLA не предусмотрели эту фишку, и через него нельзя сменивать старый пасс на новый при таком запросе. Тут только из винлогона.

Цитата
На счет брута сомневаюсь, порт у RDP совсем не стандартный, вряд ли на него попадут случайно.


На сегодняшний день наблюдаю в мире брутов достаточно специфичных програм, которые умеют сканировать диапазоны айпи и диапазоны портов, проверять их на коннект по РДП-протоколу, далее брутить их по словарю, так что все возможно.

Мой тебе совет, сменивай пасс на более тяжелый и проверь учетки в lusrmgr.msc
Если там есть левые учетки кроме твоей админской, удаляй их, после проверь ключи реестра:

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe"

sethc.exe
Utilman.exe

Эти разделы удаляй также, их не должно быть, их используют как бэкдоры.
Ну и диспетчер проверь на всякий случай, автозагрузку, службы: Anwir Task Manager вполне подойдет.
После этого можешь не беспокоиться и использовать далее RDP-протокол для подключения к дедику. Главное более сложный пасс, буквы-цифры.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
  Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: