Имеется windows 2000 server с открытым вовне 3389 портом (terminal server принимает соединения на него).

Могут ли его "сломать" иначе, кроме как подбором имени админа и его пароля?

Если могут, то как быстро?

Как обычно админы админят свои сервера в таких случаях?

В голову приходит только нечто вроде выставления в настройках firewall-а подсетей (провайдеров), с которых порт 3389 будет доступен всем желающим.

                

MNT, Вы писали:
> Имеется windows 2000 server с открытым вовне 3389 портом (terminal server принимает соединения на него).
>
> Могут ли его "сломать" иначе, кроме как подбором имени админа и его пароля?
>
> Если могут, то как быстро?
>
> Как обычно админы админят свои сервера в таких случаях?
>
> В голову приходит только нечто вроде выставления в настройках firewall-а подсетей (провайдеров), с которых порт 3389 будет доступен всем желающим.

У меня этот порт открыт - пока вроде бы не сломали. Параллельно с этим открыто ещё несколько портов для администрирования другими программами - через 3389 работают пользователи, и непосредственно для администрирования по медленным линиям он не очень-то и удобен.

Вобщем, это от многого зависит. Программ автоматического подбора логина-пароля-домена для терминал-клиента я что-то не видел (а вот для хвалёного RAdmin - видел), могут возникнуть ещё и проблемы с самим клиентом, несовместимость, лицензии и т.п.

Если есть опасения, что найдётся люди, которые захотят это сломать, чтобы что-то себе за это получить, то есть варианты дополнительной защиты. Первое (и главное), раз уж вы связались с Windows2000, необходимо устанавливать все возможные заплатки по мере их появления. Заплатки к Виндовзу выходят чаще, чем к другим операционкам, и в тактическом смысле он может оказаться даже защищённее, допустим, Линукса, как это не парадоксально.

Можно поднять над терминалами W2K Citrix Metaframe - там возможностей по защите больше, но я не пользуюсь - работу замедляет.

Если есть возможность ограничения по клиентам на уровне файервола - лучше сделать. Хорошо, если заходят с нескольких фиксированных IP-адресов - им и разрешить, остальным - закрыть. А если неизвестно откуда будут ходить - не получится. Допустим, клиент будет ездить с ноутбуком по заграницам, и заходить на родной терминал-сервер с разных гостиничных WiFi-хотспотов, их же все не укажешь...

Кстати, там, вроде бы, для терминал-клиентов, надо открывать ещё какой-то UDP-порт, а какой - не помню.

                

Спасибо за ответ.

KDS, Вы писали:

> Кстати, там, вроде бы, для терминал-клиентов, надо открывать ещё какой-то UDP-порт, а какой - не помню.

У меня работает без каких-либо UDP портов, через прокси...

                

MNT, Вы писали:
> Спасибо за ответ.
>
> KDS, Вы писали:
>
> > Кстати, там, вроде бы, для терминал-клиентов, надо открывать ещё какой-то UDP-порт, а какой - не помню.
>
> У меня работает без каких-либо UDP портов, через прокси...

Да у меня, вобщем-то, тоже. Просто я просканировал на открытые в локалку порты сервера до поднятия сервиса терминалов, и после поднятия. Разница оказалась не в одном порте, а в двух - один TCP, а второй - UDP. Зачем-то он его тоже открывает, но, раз работает без него, то и незачем.

                

KDS, Вы писали:

> Разница оказалась не в одном порте, а в двух - один TCP, а второй - UDP. Зачем-то он его тоже открывает

Очевидно, для того, чтобы клиент служб терминалов мог быстро найти необходимый сервер в сети. Обратите внимание, как быстро раскрывается список терминальных серверов, если нажать "Обзор".