Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

5 октября 2011. Автор: anvion

fotoВ журнале событий “Система” фиксируются события: от источника TermService с кодом 1012 — “Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.“

Рекомендации:

1.      ЗАПРЕТИТЬ  делать службу удаленных рабочих столов доступной из любой точки интернета

2.      Включить ведение журнала событий в системе и регулярно (не реже раза в неделю для малых сетей,  ежедневно  для средних и несколько раз в день для крупных) просматривать их на наличие аномалий

3.      ограничить список адресов, с которых можно удаленно подключаться к офисной сети – только НУЖНЫМИ адресами

4.      использовать только защищенные каналы удаленного доступа (VPN)

5.      назначить сложные пароли всем учетным записям, которым разрешен вход через удаленные рабочие столы (то есть через сочетание разных регистров, цифр, букв и символов, а не просто 111 или слово ПАРОЛЬ на англ регистре)

6.      ввести систему контроля  доступа и парольной защиты  или хотя бы донести до всех сотрудников (лучше через официальный приказ) минимальные правила, изложенные в наших рекомендациях

7.      производить  смену паролей всем пользователям минимум через 3-6 месяцев (рекомендуем этот процесс автоматизировать – так будет проще всем)

8.      настроить политику аудита (контроля) успешных и неудачных попыток входа в систему и – это важно – регулярно ПРОСМАТРИВАТЬ ее и, обнаружив опасность,  сразу исправлять ее

9.      помнить, что ПРОФИЛАКТИКА всегда дешевле и проще чем лечение, и принимать меры по защите того, что Вам дорого – ЗАРАНЕЕ

P.S.

Удалось победить эту проблему путём смены порта RDP с 3389 на произвольный пятизначный номер.

Популярность: 13% [?]

Комментарии закрыты.