Пропадает общий доступ к расшаренным папкам на сервере при изменении лок. пол. без-ти
 

Добрый день всем! Помогите пожалуйста разобраться с таким вопросом. Есть Server 2008 R2, к нему по локальной сети подключаются 30 компьютеров с различными ОС (ХР SP3, Windows 7 и 32, и 64 bit, Windows 10 и 32, и 64 bit). 5 пользователей иногда подключаются удаленно и 1 постоянно подключается через интернет. Я не особо грамотный спец в IT, просто приходится следить за всей этой кухней по совместительству. Поэтому настроил все как сумел, наверно не все правильно с точки зрения сисадминов, но уж как есть. Удаленный доступ к серверу через Zyxel Keenetic Giga II, настроил перенаправление измененного порта на сервер 3389. Вся сеть в рабочей группе. Большая часть клиентов работают с 1С, остальные с EXCEL-евскими файлами в общих папках. 2 пользователя используют общую сетевую папку для какой то программы для работы с таможней. В логах безопасности Виндовс практически каждые 2-3 секунды идет подбор имен пользователей, установил IPBan, потом RDP Guard, но они работают только если в локадьных политиках, параметры безопасности, сетевая безопасность, ограничения NTLM, входящий трафик NTLM выбрать запретить все учетные записи, иначе в журнале Виндовс не отражаются IP адреса в событиях отказа доступа. Как только меняю указанный параметр, все атаки прекращаются, в правилах брандмауэра появляется куча заблокированных IP адресов, по локальной сети все пользователи к RDP нормально подключаются и работают с 1С, но на всех компах сети независимо от их ОС пропадает общий доступ к расшаренным на сервере папкам, в том числе и подключенным как сетевой диск. В проводнике у клиента в сетевом окружении сервер присутствует, но доступные папки не отображаются, нет доступа. Возвращаю в политиках Разрешить все, все работает нормально, но тут же идет перебор пользователей и паролей. Наверняка нужно что то где то изменить чтобы побороть эту напасть с общим доступом.

С каких IP-адресов идёт подбор имен пользователей?
Идёт ли подбор пользователей если на Zyxel Keenetic Giga II отключить перенаправление RDP?

Если отключить перенаправление все спокойно, в логах только аудит успеха. Из внутренней сетки никто не стучится, адреса внешние (из интернет).

Решение - поднять VPN и убрать перенаправление порта.

Об этом читал, но даже спецы не все VPN используют. У меня работа основная в лесу, бывает неделями в конторе не появляюсь, так что это не для меня. Проще просто отключать удаленный доступ совсем и включать по требованию иногда. Но я почему то уверен, что с сетевым доступом к общим папкам должно быть простое решение.

Они, как раз, именно VPN и используют! Сделать это на вашем роутере не сложнее, чем пробросить порты.
Не с того конца вы начали решать задачу.

Спецы как раз должны только VPN использовать.
Я с RDP Guard не знаком, но судя по быстрому гулежу не должно быть такого, что нужно в групповых политиках что-то отключать, чтобы программа начала блокировать адреса.

Дело в том, что она эти адреса берет из журнала безопасности Виндовс с кодом ошибки 4625, а в нем не регистрируется IP адрес если пакет проверки подлинности NTLM. Вот здесь в п.5 написано, правда там про IPBan, но суть одна https://neoserver.ru/help/kak-zashch...windows-server

Вариантов два:

1. Поднять VPN.
2. Ручками включать-выключать.

... и перестать мучиться и пытаться натянуть сову на глобус. Хотите - на вашем роутере, хотите - на сервере с пробросом с роутера (VPN pass-through). Вы уже потратили уйму времени, за которое можно было настроить сотню VPN-ов и пятьдесят FTP-серверов с сервером приложений в придачу.

Не понимаю людей, которые при наличии штатных проверенных средств занимаются кулибинством со сторонними финтифлюшками. :o

Я же писал, все это у меня по совместительству, даже без доплат каких либо. Вот Вы например знаете как в любом месте в России по названию лесничества, номерам квартала и выдела найти нужный участок леса, отграничить его визирами, вычислить площадь с точностью до 0,1 га, составить абрис отвода и подать лесную декларацию? Или хотя бы элементарно перевести азимут в румб? Или создать подробную карту для GPS навигатора? Хотя уверен, все Вы в лесу бываете, хоть и не в тайге скорее всего. А для меня все это элементарно просто без всяких кулибинств и финтифлюшек.
Ну почитал я про VPN, настроил на роутере, из дома подключился, только теперь осталось по домам работников проехаться чтобы создать VPN подключения у каждого, объяснить всем, что его нужно подключить перед тем как к удаленному рабочему столу подключаться, при этом логин и пароль для подключения ввести помимо пользователя RDP, а если еще отваливаться будет вообще заклюют. Для наших бухгалтеров все это как устройство подводной лодки, сами они ни один не создадут дома VPN подключение.
Ведь я вопрос задавал не про VPN, а почему при отключении NTLM аутентификации пропадает общий доступ к расшаренным папкам, по моему представлению explorer.exe обращается в сеть с NTLM запросом, наверняка где то в настройках можно заставить его работать через kerberos принудительно или на сервере сделать для него исключение. Ну это в моем понимании так, может я и ошибаюсь.

Kerberos - это поднятие Active Directory.
Ещё как вариант - поднять RDP gateway, но тут есть нюансы.

Надо будет - узнаю. Поисковики никто не отменял. Форумы тоже, где данные мне советы я выполню и получу требуемое. И не буду тянуть кота за гениталии (я не знаю, может, конечно, задача поставлена со сроком решения на столетие), дескать, хочу чтоб визиры были с надписями на эсперанто и чтоб в каждом стоял термоядерный реактор.

Именно так. А ещё объяснить начальству, что правила кибергигиены никто не отменял. Хочет получить лежачий или скомпрометированный сервер, который превратили с спам-платыорму (угадайте с 3-х раз, на кого свалят?) - вперёд и спесней! Можно вообще отключить парольную защиту или выдать всем логин/пароль под роспись user/123. Хотят безопасной и стабильной работы - объясните, что трусы от комаров в тайге не спасают.

Вот и я думал на форуме помогут, только вот вместо ответа на конкретный вопрос мне вдалбливают, что я не о том спрашиваю, "сову на глобус натягиваю" и т.п., Нет ответа у Вас, пройдите мимо, а не занимайтесь высокомерными нравоучениями, тоном не терпящим возражений. Наверно RDPGuard и IPban лохи последние написали и у Вас не спросили для чего это надо. А насчет "вперед и с песней" - сервер круглосуточно с 2009 г в сети работает и проблем, кроме как с железом не возникло до сих пор. Блин, спроси какой жиклер в карбюратор поставить, тебе вдалбливать будут - ставь ижектор, иначе никакие трусы не спасут.

Здесь настройка IPBan обошлась без отключения всех учётных записей для NTLM. Такой вариант проверялся?

Спасибо, прочитал, именно так и делал (ссылку чуть выше давал), почитайте комментарии по Вашей ссылке, там как раз моя же проблема и обсуждается в первом же комментарии пишут. Но решения там тоже нет, видимо не все используют расшаренные папки на сервере и поэтому не все и понимают о чем речь идет.

Могу предложить только один вариант - сделать новый сервер на который перенести расшаренные папки, в дополнении ранее предложенному поднятию RD Gateway.