ten článek na první pohled vypadá na jasnou reklamní lež - protože mj. bych chtěl vidět, jak se k stanici s W10 a Pohodou připojuje najednou šest klientů pomocí mstsc (terminal clienta).
Možná by bylo dobré, aby příště byl takový dikobraz (typ článku) rovnou označen za reklamu a aby do odborného media nepsal články člověk, který je technicky úplně mimo.
Prostě s Lupou to jde od 10 k 5, ne li k -2 - a to zejména po stránce "odbornosti" obsahu článků.
protože tenhle "patch" (jestli se tím myslí ta editace registrů a výměna těch pár souborů) z žádný stanice terminal server server neudělají - mj. malý měkký to nejspíš velmi dobře ví a tak mu to je celkem jedno - akorát to při aktualizacích vždy přepíše zpátky a vymění ty soubory za single user verzi.
Jediný, co to totiž pak umí je, že to nechá přihlásit víc než jednoho klienta - ale pokud si takto přihlášení uživatelé všichni spustí stejnou aplikaci (třeba zrovna tu pohodu), tak se to chová stále jako jedna stanice - ne server.
Což asi autorovi reklamy (tohoto článku) nějak uniklo :-).
To by mne zajimalo, jakou zazracnou ze to ma ten server technologii. Specielne kdyz ty soubory (dll a dalsi) jsou zcela shodne s odpovidajici desktopovou verzi win. Jediny zasadni rozdil mezi desktopem a serverem jsou vsemozna zcela umela omezeni (ony i 32bit XP umi vyuzit vice nez 4GB ram).
přesvědčení, že když napíšu o nějakém produktu, je to raklama, je směšné.
Umělá omezení jsou základem cenotvorby běžně kolem nás. Proč si musím v MHD kupovat jízdenku podle času nebo místa dojezdu, autobus tam přece i tak jede? Proč musím platit za licenci pro každého uživatele? Proč platím v Praze za parkování jinou cenu za firmu a za osobu, vždyť zaberu stejné místo?
Ano, 32bit Windows umí využít díky PAE více než 4GB, ale za cenu ztráty výkonu paměti a pořád platí omezení, na paměť pro jeden proces.
Toto rozhodne neni pravda:
"Článek neříká, že se všichni připojují najednou. Pokud se vystřídají, je to OK."
Dle podminek M$ muze na desktop Windows ve verzi Pro pres RDP legalne pristupovat pouze ten uzivatel, ktery u daneho PC travi osobne vice nez 50% casu ve srovnani s ostatnimi uzivateli.
Ja jsem zvedav, co budou delat az jim zmizi ta data v cloudu. A ze tech pripadu za posledniho 1/2 roku nebylo zrovna malo.
Jinak mi to cele prijde jako PR na tema dejte nam data, u nas jsou zcela 100% (jak jinak https://www.lupa.cz/clanky/casablanca-int-ma-problemy-nektere-sluzby-nejsou-dostupne/ ) v bezpeci.
Nebo jeste hur, az ta data budou verejne ke stazeni. Coz bude legrace o to vetsi, pokud jejich soucasti jsou nejake osobni udaje.
Takze jako server pouzijeme bezne Windows 10 normalni desktopovou verzi... pravidelne nezalohujeme... otevrene RDP na standardnim portu...
Hned na zacatku tri zakladni chyby - tady tomu pruseru sli spise naproti. Napada me - bezny desktopovy system povoli uzivateli normalne jen jeden RDP pristup soucasne - nekdo si hral s registry windows a delal z toho pseudo server a povoloval vice otevrenych RDP najednou?
Udělat si server ze stanice ve firmě o pár lidech, když potřebují v podstatě jen sdílet pár adresářů není problém, RDP na std portu taky ne. Co je ale problém, jestli měli to RDP přes nějaký port forward na routeru vystrčené ven. Ani změna portu není žádné řešení, řešení je firewall a VPN a vše řešit jen zkrz VPN. Že neměli zálohy je samozřejmě slušný fail, nemusí je ani napadat ransomware, stačí když odejde hw.
Tim standardnim portem jsem myslel i to ze je otevreny z venku (tak jak popisujete). Bez VPN nebo striktne vymezenych IP adres je takoveho otevreni opravdu zadelani na pruser.
Server z bezne stanice - zalezi vzdy jen na poctu uzivatelu. Drivejsi desktop verze mely omezeni na to jak dlouho muze system bezet (ale to tusim zaniklo s win7), pak byl problem s pocty pristupu na sdilene disky (kde se to take pohybovalo v jednotkach soubeznych pripojeni) a take s rychlosti. Kdyz si vezmu cenu nejakeho kancelarskeho PC s Windows 10 - budeme se pohybovat napr. 10-12000,-. Kdyz si koupim od HP Microserver s celerony a dvema disky v raidu a serverovym OS tak jsem na cene jen o par tisic vyssi. Kdyz chci mit jistotu rychle opravy tak muzu koupit za smesny peniz jeste NBD carepack
jenže server to je spíše povahou komponent a spolehlivostí, než formou. Dělají se běžně servery, které vypadají jako desktop počítač, mají je i na Alze, hledej třeba termín tower nebo zmiňovaný microserver od HP.
Proč se vyjadřuješ k něčemu, o čem nemáš ani potuchy a co ti nestojí ani za to, na tu Alzu kouknout a ten "microserver" si najít?
Nejsem v té bezpečnosti úplně kovaný, rozlišuji pouze mezi napadeno/nenapadeno a zatím jsem napaden nebyl, ale musím se zeptat, protože mě to zajímá:
Jak moc je nechráněná stanice s řekněme Windows (10), která má ven vystavený skrze nějaký router/firewall RDP port, přičemž na stanici je to normálně 3389 a venku je to přemapované řekněme na 12345? Co musí útočník získat (kromě portu, který si osahá, a veřejné IP adresy, kterou třeba zná), aby se na takový stroj dostal, když nezná přihlašovací iniciále? Já jen, že takové stanice znám docela běžně, a to běhají i na starších Windows než 10 (nejstarší jsou Windows Servery 2003, ale ty nych už s dovolením vynechal).
V posledních par mesicich jsme měli u zakazniku takto prostrelene RDP, napadeny server a zasifrovana data. Pokud bylo RDP otevrene uplne (port 3389) tak se bud stavalo ze to zkouseli slovnikovym utokem nebo jen zahlcenim služby (takze legitimni uzivatele nemohli pracovat). Premapovani na jiny port moc nepomuze - oskenovat všechny porty netrva tak dlouho (pokud to nechces delat pomalu a opatrne) - jakmile najdou port, jsi ve stejne situaci.
U tech nasich pripadu doslo bud k tomu ze existovala nejaka neznama chyba kterou se RDP dalo prostřelit (i když to je mala pravdepodobnost) ale spise slo o to, ze nejaky ransomware na stanicich klientu vytahnul prihlasovaci udaje z ulozeneho RDP spojeni a ty pak pouzil pro prihlaseni (v logu rdp serveru je pak videt ze se prihlasil bezny uživatel, ale jeho IP byla z ruznych státu.
Jistota je proto dovolit RDP jen z konkretnich adres nebo dovolit pripojeni jen pomoci VPN. Bez toho je to riziko - nic se stat nemusi rok, ale taky muzes mit zasifrovana data hned druhy den.
jinej port odstraní poměrně dost útoků, takže se slabina nemusela projevit a server ti nikdo nenapadl.
Jedou se slovníkové útoky nebo zneužívají neopravené zranitelnosti, však v RDP jich je požehnaně za jeho historii.
Většina podobných služeb (ať mají přihlašování přes heslo), nejsou určené k odolávání útoků a vystavení veřejně. Co k něčemu není určené, příliš se na takovou věc netestuje, chybí kontrolní mechanismy a pokud na druhý straně je šikovný tvůrce "viru", cestu si najde.
Naopak řada VPN brán je právě určena k vystavení nebezpečnému prostředí a daleko lépe plní svoji roli.
Víte, to, co píšete, sice dává smysl, ale mě např. zajímá, kolik z toho požehnaného množství děr v RDP je touto cestou aktuálně *) zneužitelných.
*) Tzn. na řekněme aktuálně podporovaných a plně záplatovaných Windows (nanejvýš záplatovaných s půlměsíčním zpožděním) - počítejme sedmičky a vyšší.
Slovníkové útoky neřeším, pokud jsem přesvědčen o tom, že mám dostatečně silné heslo, navíc Windows při přihlašování se špatným heslem (jedno zda přímo na PC nebo přes RDP) defaultně dělají prodlevy, kdy s ohledem na standardní chování nevíte, zda už se přihlašujete, nebo vás to za několik pětek sekund odpálkuje, že špatné heslo, takže imho moc hesel se za jednotku času vyzkoušet nedá (pokud se tedy toto nedá nějak obejít - znovu říkám: vystavený je jen RDP port, ne třeba pro sdílení a jiné služby).
Všechno, co zmiňujete, je takové obecné povídání, které se dá napasovat v podstatě na cokoli. Ale konkrétního to neříká nic. Jasně, Windowsy jsou oblíbeným terčem útoků, protože je má spousta lidí. Jsou děravé, protože se tím pádem na spoustu děr přišlo. Když je někdo „šikovný“ a k tomu ještě tvůrce viru, dokáže si najít cestičku všude. Tohle jsou všechno bez reálných příkladů FUDy. Neříkám, že je špatné se jim nebránit, protože přirpaveného hned tak něco nepřekvapí (což je de facto blbost, protože právě když jste připraven, vás nejvíc překvapí, že s vámi někdo i přesto vydrbal, zatímco kdo tu bezpečnost fakt neřeší, se divit prostě nemůže a o překvapení by neměla být vůbec řeč ;), ale pořád z toho všeho, co jsem si tu přečetl, mi přijde, že vystavení RDP portu Windowsové mašiny skrz nějaký forwarder na nestandardním portu s heslem, o němž jsem přesvědčen, že je silné, je zabezpečení na dostatečné úrovni s velmi dobrým poměrem cena/výkon. Tím spíš, že to je např. domácí mašina či mašina nějaké malé firmičky a ne server nějaké státní instituce nebo instituce řádově ještě důležitější.
To je prave otazka kterou ti nikdo neodpovi - v tech pripadech kdy jsme to zaznamenali u nasich zakazniku tak to byly stroje na kterych byl windows update pusten a byly zaplatovane. Vyjimka byla u serveru kde se zaplaty instaluji rucne s nejakym zpozdenim. Ale nepamatuju si za posledni dobu ze by MS hlasil u nejake zaplaty ze resi kritickou chybu v RDP.
Mozna existuji nejake zero day exploity na rdp, ale ty by byly asi vyuzivany masivneji. Takze si spis myslim ze vetsina tech prustrelu byla spatnym heslem nebo jeho vyctenim z ulozeneho RDP u uzivatele.
Díky za info, které dává smysl.
Ne, že bych se tím nějak obšírněji zabýval, spíš to jen tak z povzdálí „laicky“ sleduju, ale připadá mi, že největší procento úspěšných útoků, o kterých se veřejnost dozvěděla, souvisí s vyzrazením přihlašovacích údajů. Že prostě „sociální inženýring“ je teď tak nějak in, protože to docela dobře funguje na docela velkém počtu uživatelů. I z toho mně osobně vyplývá, že když není uživatel úplný idiot, tak je vlastně víceméně v suchu - v porovnání s tím „průměrem“, na který se obvykle cílí. Znovu zmiňuji, že nemám na mysli cílený útok na někoho/něco důležitého (a tím fakt nemyslím bankovní konta běžných uživatelů, byť pro mnohé jsou veledůležitá), tam to asi funguje trošku jinak, byť ta mainstreamová metoda prolomení (Budulínku, dej mi heslo, povozím tě na ocásku) určitě není zanedbávaná ;).
podle me to neni ani tak socialni inzenyring (na RDP jsem ho jeste nepotkal :-) jako spis spyware ktery proste jen stahne hesla a odesle je pryc.
Kdyz si vezmes uzivatelsky PC pustis na nem vytahovani hesel z prohlizece a emailu - vetsinou ziskas desitky ruznych prihlaseni behem vteriny. Kdyz bude spyware chytrejsi a bude na disku jeste hledat soubory s priponou .rdp tak taky sem tam neco najde...
Jasně, já to počítám mezi sociální inženýring, protože mě nenapadá, kdo jinej než oběť sociálního inženýringu by si dneska spustila spyware či jakýkoli jiný malware ;) (pokud se do PC nedostane zcela bez přičinění uživatele nějakou dírou, což bych ale řekl, že u koncáků spíš upadá, protože je snazší je oblbnout jinak).
Přesně to mě napadlo jako úplně první. Vystavit holé RDP přes port forwarding do internetu je docela usilovná snaha o sebevraždu. Dále tento způsob provozu je v rozporu s EULA a správně za to měli ještě dostat flastr. A co se týče zálohování ... lidi se dělí v zásadě do tří skupin:
1) o data už někdy přišli
2) o data teprve přijdou
3) o data přijdou ZNOVU
Já bych v tom řešení problém neviděl, z hlediska nákladů asi optimální řešení. Jen to chce mít nastavené, aby se soubory z adresáře se zálohami někam pravidelně zálohovaly, stačí 2 bezplatné cloudy nebo si to občas poslat někam mailem.
Sám jsem Pohodu řešil a teprve nedávno mě napadlo docela elegantní řešení práce z více míst i se zálohováním.
Čmoud != záloha!!!
Free čmoud == hračka!!!
Ostatně, přečti si třeba MS EULA - "za data neručíme, zálohuj si je"
Chce to myslet. Třeba archivaci fotek řeším cron scriptem, co aplikuje na starší soubory než dva týdny chown na uživatele "Archivar" a pak chmod jenom pro čtení. Kdo není root nebo archivar, data nezmění (nezašifruje).
Navíc se tyhle soubory hodí do tar.bz a nakopírují se s pomocí scp na jiný stroj/disk. Tam se označí read only. 1x za čas pak komplet offline záloha rsyncem celýho archivu na jeden ze dvou externích HDD. A jde to i bez čmoudu...
To jiste ... Napr http://www.mylumia.cz/Zachrante-sve-kontakty-nez-je-Microsoft-ztrati-rozbil-synchronizaci-Outlook-A_3236
Stejne tak dokaze zcela jiste geograficky zalohovat casablanca ze? http://www.hardyn.cz/nas-casablanca-obelhala-podvedla-poskodila/
Realita je takova, ze behem poslednich dou let doslo k vypadkum (z ruznych pricin) ktere vedly ke ztrate dat u vsech provozovatelu cloudu. A zaroven je realita takova, ze i zcela nezalohovana data maji pomerne slusnou (pravdepodobnostni) sanci prezit mnohem dele, nez jaka je stredni doba mezi vypadtky prave u techto provozovatelu. Pricemz zaroven plati, ze cim vice dat bude v cloudech, tim zajimavejsi cil to bude, a tim vyssi je pravdepodobnost, ze nekdo ve snaze se k tem datum dostat ta data poskodi nebo znici. A to nenavratne.
Nebot i kdyby nakrasne provozovatel skutecne zalohoval, tak je vam zaloha jiz poskozenych dat jaksi na dve veci.
2gdfgdf: Jenze tady neni rec o tom, ze nekdo bude nejaka data davat do cloudu jako zalohu, ale o tom, ze cloud je jeho primarnim ulozistem dat, a zadna jina sva uloziste neprovozuje, tudiz se 100% spoleha na to, ze provozovatel toho cloudu zalohuje, coz jak vidno i z mnou uvedenych odkazu jednoduse neni pravda.
Je to exaktne stejna situace jako kdyz mate sveho ISP a ten vam nedoda ten "garantovany" internet. V lepsim pripade vam vrati mesicni poplatek. S cloudy je to exaktne stejne, jen ty skody jsou o mnoho radu vyssi.
§666
Odst 1. Libovolný jouda, který svěří výsledky své práce, nebo cokoliv s ní kriticky související, a nebo dokonce s ním samotným, stroji ovládaném programy closed source, jejichž autoři se zříkají jakékoliv odpověnosti a na kteréžto jouda-plátce bez funkčních záloh a zevrubných znalostí jen ze své blbosti spoléhá, bude dříve či později potrestán
a) úlekem
b) ztrátou dat, úsilí, času a nemalé hodnoty
c) naprostou zkázou
Odst. 2. Obrácením výsledků své práce proti sobě konkurencí nade vše výše uvedené pak bude potrestán tentýž jouda-plátce, pokud tak učiní v cloudu.
"server vytvořený z obyčejného počítače s Windows 10 běžící v kancelářích. Jeho jediným účelem bylo provozovat účetní software Pohoda."
No jako sorry, ale to moc nemluví o technicky zdatnějších lidech... ještě mi nejvíc rozsekává věta ,,účetní software Pohoda" to mi skoro přijde jako srdce firmy. Diletantni.. :)
Používání RDP pro účetnictví je dost přežitek. Pokud by účetnictví mělo webové rozhraní nebo tenkého klienta byla by bezpečnost úplně jinde, o moc méně přístupových cest k serveru. Uhodnutím hesla by bylo možné udělat nějaké změny ale pokud aplikace nějakým způsobem verzuje data neměl by být problém změny vrátit.
Naopak RDP umožní přístup filesystému a umožní spouštět programy, i když omezeně je pořád možnost napadení řádově vyšší.
Vskutku, zatimco RDP otevrene do site je na milionech stroju, a zadny zasadni problem to zjevne neni, tak web prave vaseho ucetnictvi zcela jiste pouziva ... mozna jeste deset dalsich subjektu, tudiz bude naprosto bezpecny, a rozhodne na nem nepujde zcela trivialne vyuzit SQL injection, pripadne dalsi propaste, neb o dirach casto nemuze byt rec.
A ta efektivita prace, to bude teprve posusnani. Vsichni budou doslova viskat nadsenim. Osobne znam jedine (x)html prostredi ve kterem bylo mozno poskladat jakous takous rozumne se chovajici aplikaci - XUL ktere mozilla prave pohrbila.