Padaryk autentifikacija per WEB, po autentifikavimo, atsidarys portas 
prie RDP is to IP kur padaryta autentifikacija parai/iki vidurnakcio. 
Passwordus keisti bent karta i 3 men. Autentifikacijoje neturi buti 
nieko nurodyta, kur jungtis ir nieko susijusio su RDP ar pan., vos ne 
"OK". Web ir RDP slaptazodziai turi skirtis.

Serve ijungti visus imanomus security restrictions (viska blokuoti, 
leisti tik tai kas reikia). Jokiu exe,bat, etc. paleidimu is Userio 
folderiu ar pan., leisti tik konkrecias programas, uzblokuoti Internet 
Explorer/Edge.

Serva kurciau ant virtualkes, o tada galesi ant veikiancios daryti karta 
i para ar kiek rekia snapshotus, kuriuos galesi kartu ir pasideti i 
backup (o katastrofos atveju, atstatyti), niekas net nepastebes, kad 
kazka darei, nebent disko apkrova pakils, o jeigu darysi nakti, tai is 
viso niekas nieko nematys ir nezinos.




On 2017.05.07 18:48, Night wrote:
> Na cia visu tu reikalu su pavogtais papais fone pradejau galvoti, kokios
> gi gresmes yra terminaliniam serveriui? Su isore jis bendrauja:
>
> -RDP - jungiasi 30+ useriu, ne per TS gateway, ne per VPN
> -FTP - naudojamas tik vienas pasharintas folderis ir jame nieko
> ypatingo, vienas failas su prekiu likuciais, zodziu niekam neidomus
> -Yra open VPN tunelis su NAS, kur kasdien guldomi offsite back-up'ai
>
> Pazeidziamiausia vieta, manau, yra RDP. Yra firewall, kuri blokuoja IP
> po 5 nesekmingu loginu, tai bruteforce ataka kaip ir atkrenta. Bet
> useris gali "prasikti" savo prisijungima - tiesa, visi useriai smarkiai
> apriboti. Na zodziu pamastymai welcome.