Windows Server 2012 - TS - Acesso Remoto

Matheus Andrei Jankovski · 9 de março de 2022

Boa tarde senhores, estou com um problema em um servidor 2012 e por enquanto não obtive sucesso em resolver.

O que acontece é que se um agente externo digitar um "login" correto mas uma "senha" errada o servidor libera a tela iniciar para tentar outro usuário, ou seja, mesmo sem senha consegue autenticar...

alguém saberia me dizer que politica é essa ?

oba: parece que isso acontece apenas quando o usuário é bloqueado

12 de março de 2022

Boa tarde, bem eu nunca vi isso, mas pode ser uma falha de segurança séria, olha tente atualizar para um sistema mais novo e sistema de suas estações, valeu. É melhor atualizar do que alguém vi e pegar os dados que estão no servidor. Pode ser o seção de senha com complexidade comprometida. Eu não sei, veja se isso pode te ajudar

http://www.linhadecodigo.com.br/artigo/2221/identificando-onde-um-userid-esta-sendo-bloqueado.aspx

https://docs.microsoft.com/pt-br/troubleshoot/windows-server/identity/restrict-use-one-domain-user-only

https://www.juliobattisti.com.br/artigos/windows7/capitulo06/cap06_19.asp

Observação: Bloqueio qualquer agente externo, algo esquisito neste tipo de falha, todos deveriam se autenticar e não passar, parece um usuário temporário, bem como eu falei, atualize todo o seu parte de maquinas e principal o servidor, faça um servidor fora a parte o mais rápido possível.

Matheus Andrei Jankovski · 14 de março de 2022

Bom dia @Antonio Carlos Barros dos , verifiquei as 4 fontes, tudo parece atender principalmente quanto as politicas de senha, mas o que acontece é que esse servidor é algo isolado do AD, não usamos ele com configuração feita para conectar com o dominio. Ele serve apenas para os clientes conectares e utilizarem um sistema interno que temos que roda em cima da porta de um banco de dados.

- Todos os usuários são configurados apenas para "usuário" "usuário de conexão remota".

- Todos os acessos ao servidor de arquivos foram cuidadosamente configurados para não permitir ações em arquivos de outros setores. (servidor de arquivos roda em dominio).

O problema somente acontece quando as duas contas administrativas com senhas de 32 a 48 caracteres randomicas são bloqueadas na quinta tentativa incorreta, nesse ponto o servidor libera uma sessão para tentar manualmente colocar outra login, tipo a tela de login de um sistema. A automação de um bruteforce nessa falha não considero ser um risco, pois as senhas não existem em nenhum banco de dados vazados, e caso seu hash seja furtado, não existe nenhuma tabela de comparação para identifica-la. A questão é que é um comportamento que acontece inclusive em um servidor 2012 limpo após instalar o serviço de TS.

Porém notei que ao desativar a politica de bloqueio de conta automatico ao errar "x" vezes o sistema não libera essas sessão para tentar novas credenciais, é como você falou parace um tipo de login anonimo, mas ainda não encontrei o motivo.

Como em uma instalação limpa tambem acontece, não acho que resolveria formata-lo, basicamente ele tem um sistema de gestão instalado e as portas de TS, o resto fiz o hardening manual.

Qualquer sugestão me avise, obrigado.

Quando a conta é bloqueada ele libera, se eu tirar politica nunca ninguem consegue chegar nessa tela.

14 de março de 2022

Boa tarde amigo, bem veja se isto te ajuda

https://docs.microsoft.com/pt-br/windows-server/remote/remote-desktop-services/troubleshoot/rdp-error-general-troubleshooting

Observação: Crie um cenário com o que você está trabalhando usando uma virtualização da sua situação, usando um servidor Windows server 2012 e o mais novo o 2022, faça teste e veja onde está o problema, valeu. O bom dar virtualização é isto, estudar o problema para fins chegar a ela fora da produção, use o Hyper-V.

Matheus Andrei Jankovski · 14 de março de 2022

@Antonio Carlos Barros dos Obrigado pelas considerações. Vou fazer os testes.

Contornei temporáriamente utilizando IPBan feito em ruby + tirar a restrição de bloqueio com 3x tentativas erradas, sendo assim ele da perma ban em um ip em 5x tentativas erradas, e não libera a sessão da forma mencionada. Vou fazer os testes com 2012 vs 2022.

14 de março de 2022

2 horas atrás, Matheus Andrei Jankovski disse:

@Antonio Carlos Barros dos Obrigado pelas considerações. Vou fazer os testes.

Contornei temporáriamente utilizando IPBan feito em ruby + tirar a restrição de bloqueio com 3x tentativas erradas, sendo assim ele da perma ban em um ip em 5x tentativas erradas, e não libera a sessão da forma mencionada. Vou fazer os testes com 2012 vs 2022.

Parabéns a sua didática é espetacular sabe muito, realmente é complexos os sistemas operacionais acontecer isto, pelo o seu profissionalismo, a sua empresa está em ótimas mãos, parabéns e sucesso, com certeza vai conseguir resolver

Matheus Andrei Jankovski · 15 de março de 2022

@Antonio Carlos Barros dos Fiz os testes.

O comportamento que comentei do windows server 2012 está diretamente ligado com a politica de trava de conta, ele libera a sessão para o usuário tentar colocar uma nova credencial, o correto é não utilizar essa politica se o servidor não estiver em dominio, onde a validação seria diretamente no controlador, embora eu não tenha testado no cenário TS+AD acredito que o comportamento irá permanecer o mesmo, sendo até mesmo um problema do windows. Mas como a versão 2012 está descontinuada não há o que fazer a não ser soluções personalizadas.

O comportamento que comentei no windows server 2022 e 2019 não ocorre, ele mostra uma tela mais ou menos como essa ao fazer o uso da GPO de bloqueio de conta com 3 tentativas erradas.