Цитата:
Сообщение от Plague
IP в логах - отнюдь не лишний параметр даже для локальных сетей.
|
IP
как таковой в локальной сети, раз уж злоумышленник туда вообще попал, подменяется "одной левой" вкупе с MAC; в отличие, к примеру, от авторизации по доменному SID.
А в качественной
доверенной LAN осуществляется жёсткая привязка MAC к порту коммутатора (при этом комп, в принципе, запросто обходится динамическим IP), причём в любой момент времени точно известно физическое местоположение розетки СКС, которая скоммутирована в этот порт. Соответственно, единственный способ для нелегального устройства подключиться к такой сети - отключение легального устройства и коммутация в его порт с подменой MAC. А от этого достаточно надёжно защищают вполне себе оффлайновые методы ограничения физического доступа в помещения...
И в такой сети имя компа, с которого осуществляется доступ по RDP, однозначно указывает и на физическую точку, с которой осуществляется доступ, и на лицо, этот доступ осуществляющее. Посему имени компа в логе вполне достаточно.
А при доступе через VPN за авторизацию устройства в LAN и отвечает, собственно, VPN.
В общем, резюмируя: RDP не предполагает наличия встроенных элементов IDS "by design", полагаясь в этом на другие средства.
И, как я уже говорил, для доступа клиента из тырьнета по RDP нужно применять дополнительные средства защиты. Если клиент авторизовался через VPN, то уже сразу ясно, "кому бить морду" и "за что": за то, что забыл свой пароль (что, в принципе, простительно) или за попытку взлома чужого. Ну, либо за компроментацию (путём слива третьим лицам) ключей доступа...