¿Se pueden forzar las contraseñas mediante un RDP?

Navega tus respuestas
3

Hoy tuvimos una pequeña discusión acerca de un artículo relacionado con la seguridad en el trabajo, y me sorprendió un poco una cosa: afirman que algunos atacantes lograron forzar la fuerza de la contraseña de alguien e iniciar sesión a través de RDP. El artículo se escribió con énfasis en la idea de que no debería dejar el RDP públicamente disponible debido a esto.

Estoy confundido de que funcionaría. Incluso en las instalaciones más básicas de Windows hay una limitación de contraseña. Después de 5 intentos fallidos, hay una pausa forzada de 30 segundos (o algo así). ¿RDP está exento de esto? ¿Puede realmente intentar cientos o miles de contraseñas por segundo a través de RDP? No pude encontrar esta información en google.

Supongamos que no existe una política de bloqueo de dominio (de lo contrario, esto obviamente no funcionará), pero también que nadie ha inhabilitado explícitamente ninguna limitación habilitada de forma predeterminada.

    
pregunta Vilx- 08.06.2018 - 15:23
fuente

1 respuesta

1

Por lo general, el bloqueo-en-fallo-inicio de sesión no se aplica a la administración local / etc. Puede habilitar una configuración que la bloquee, pero la configuración predeterminada es que la configuración de bloqueo no se aplica a las cuentas de administrador.

Sin embargo, no estoy seguro de la limitación que menciona, pero es algo muy común ver miles de intentos de inicio de sesión de fuerza bruta por hora en servidores de Windows con RDP expuesto a la Internet pública. Estos aparecen en el registro de eventos de seguridad como fallas de auditoría con el id. De evento 4625. Muy a menudo pasan por los nombres de usuarios comunes, por lo que tal vez así es como evitan la limitación ( if la limitación se aplica a RDP).

Relacionado: armé un servicio de Windows unos años que el firewall bloquea la IP de origen si demasiadas de esas auditorías fallan en el registro de eventos dentro de un período de tiempo determinado con la misma IP de origen. Aquí hay un enlace a una breve reseña sobre eso: enlace

    
respondido por el KristoferA 21.06.2018 - 07:49
fuente

Lea otras preguntas en las etiquetas

¿Cómo un IDS identifica una computadora? bypass de interceptación de conjunto de Burp