So sichern Sie Ihre Microsoft Remote Desktop Protocol-Verbindungen besser
Mit der Verbreitung des Coronavirus auf der ganzen Welt arbeiten immer mehr Menschen von zu Hause aus, um soziale Distanzierung zu üben. Aber Remote-Mitarbeiter müssen ihre Arbeit immer noch nach besten Kräften erledigen. Manchmal bedeutet dies, eine Verbindung zu einer Workstation oder einem Server innerhalb des Unternehmens herzustellen, um wichtige Aufgaben auszuführen. Und dafür verlassen sich viele Organisationen mit Windows-Computern auf Microsofts Remote Desktop Protocol (RDP). Mit integrierten Tools wie der Remotedesktopverbindung können Benutzer auf Remotecomputer zugreifen und mit ihnen arbeiten.
RDP wurde im Laufe der Jahre von verschiedenen Sicherheitslücken und Hindernissen heimgesucht. Vor allem 2019 führte zu einer Sicherheitsanfälligkeit namens BlueKeep, die es Cyberkriminellen ermöglichen könnte, einen angeschlossenen PC, der nicht ordnungsgemäß gepatcht ist, aus der Ferne zu übernehmen. Darüber hinaus verwenden Hacker ständig Brute-Force-Angriffe, um zu versuchen, die Benutzeranmeldeinformationen von Konten mit Remotedesktopzugriff abzurufen. Bei Erfolg können sie dann auf die für dieses Konto eingerichteten Remotearbeitsstationen oder Server zugreifen. Aus diesen und weiteren Gründen müssen Unternehmen bestimmte Sicherheitsmaßnahmen ergreifen, um sich bei der Verwendung von Microsoft RDP zu schützen.
SIEHE: How to work from home: IT pro’s guidebook to telecommuting and remote work (TechRepublic Premium)
Im Folgenden Q&A, Jerry Gamblin, Principal security Engineer bei Kenna Security, und A.N. Ananth, Chief Strategy Officer bei Managed Security Service Provider Netsurion, bieten ihre Gedanken und Ratschläge für Organisationen, die RDP verwenden.
Welche Sicherheitslücken und Schwachstellen sollten Unternehmen bei RDP kennen?
Gamblin: Wie bei allen Sicherheitsanfälligkeiten ist es wichtig, einen risikobasierten Ansatz zu wählen und das Patchen von RDP-Sicherheitsanfälligkeiten zu priorisieren, die als öffentliche Exploits wie CVE-2019-0708 (BlueKeep) bekannt sind. Das Patchen von Schwachstellen ohne bewaffnete öffentliche Exploits wie CVE-2020-0660 kann in Ihrem normalen Patch-Rhythmus sicher beibehalten werden.
Ananth: RDP, wie es in Windows-Versionen implementiert ist, einschließlich Server 2008/12 R2, 7, 8.1, 10, ist bekanntermaßen anfällig für Exploits, die als CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 und CVE-2019 -1226. Bis Mitte 2019 galten rund 800 Millionen Nutzer als gefährdet. Exploits für diese Sicherheitslücken werden seit 2018 auf Marktplätzen für Webkriminelle angeboten.
Ältere Server, die anfällig sind, werden oft in einem langsameren Zyklus gepatcht, was die Lebensdauer solcher Schwachstellen verlängert. Webcrawler wie Shodan.io macht es Angreifern leicht, anfällige öffentliche Computer schnell zu identifizieren. Weltweit sind mehr als zwei Millionen Systeme über RDP mit dem Internet verbunden, davon mehr als 500.000 in den USA.
Wie versuchen Hacker und Cyberkriminelle, RDP-Konten und -Verbindungen auszunutzen?
Gamblin: Das Auffinden und Ausnutzen einer RDP-Sicherheitsanfälligkeit wird der erste Schritt in einer Angriffskette sein, die wahrscheinlich verwendet wird, um interne Datenspeicher und Verzeichnisdienste anzugreifen, um entweder ein finanzielles Motiv oder die Fähigkeit, den Betrieb zu stören, zu erreichen.
Ananth: Eine gängige Taktik ist das RDP Brute-Forcing, bei dem Angreifer viele Anmeldeversuche mit gemeinsamen Anmeldeinformationen automatisieren und hoffen, dass einer zuschlägt. Die zweite besteht darin, eine Software-Sicherheitsanfälligkeit auszunutzen, um die Kontrolle über einen RDP-Server zu erlangen. Beispielsweise könnten Angreifer BlueKeep (CVE-2019-0708) ausnutzen, um die vollständige Kontrolle über die ungepatchten RDP-Server eines Managed Service Providers (MSP) zu erlangen.
Ein neues Modul in Trickbot versucht speziell, Brute-Force-RDP-Konten. Die Malware-Angriffe von Sodinokibi und GandCrab enthalten RDP-Module. Ryuk Ransomware, Das war besonders aktiv in 1Q 2020, verwendet RDP, um sich seitlich auszubreiten, nachdem der anfängliche Fuß gefasst wurde. Der RobinHood-Angriff auf die Stadt Baltimore im Mai 2019 und der SamSam-Angriff auf die Stadt Atlanta im August 2018 sind Beispiele für von RDP stammende Angriffe.
Welche Sicherheitsoptionen sollten Unternehmen einrichten, um sich besser vor Bedrohungen für RDP-Konten und -Verbindungen zu schützen?
Gamblin: Ohne viele Ausnahmen sollten alle RDP-Instanzen mehrere Ebenen von Zugriffs- und Authentifizierungskontrollen erfordern. Dies würde die Verwendung eines VPN für den Zugriff auf eine RDP-Instanz und die Anforderung eines zweiten Faktors (wie Duo) für die Authentifizierung umfassen. Einige große Organisationen platzieren RDP direkt im Internet, aber die meisten (hoffentlich) tun dies unwissentlich. Dies zu überprüfen ist ziemlich einfach; Starten Sie einfach Ihren bevorzugten internetweiten Scanner und sehen Sie sich alle RDP-Instanzen an, die direkt verfügbar sind.
Ananth: Es gibt einige integrierte, kostenlose Abwehrmechanismen, die RDP sichern können. Dazu gehören:
- Patching: Halten Sie Server besonders auf dem neuesten Stand.
- Komplexe Passwörter: Verwenden Sie außerdem die Zwei-Faktor-Authentifizierung und implementieren Sie Sperrrichtlinien.
- Standardport: Ändern Sie den von RDP verwendeten Standardport über die Registrierung von 3389 in einen anderen Port.
- Windows-Firewall: Verwenden Sie die integrierte Windows-Firewall, um RDP-Sitzungen nach IP-Adresse einzuschränken.
- Network Level Authentication (NLA): Aktivieren Sie NLA, das in älteren Versionen nicht standardmäßig verwendet wird.
- RDP-Zugriff einschränken: Beschränken Sie den RDP-Zugriff auf eine bestimmte Benutzergruppe. Erlauben Sie keinem Domänenadministrator den Zugriff auf RDP.
- Tunnel-RDP-Zugriff: Tunnelzugriff über IPSec oder Secure Shell (SSH).
Selbst wenn Sie alle diese Präventions- und Härtungsschritte unternommen haben, kann die Sicherheit nicht garantiert werden. Überwachen Sie die RDP-Auslastung. Achten Sie auf erstmaliges und anomales Verhalten. Eine Folge von fehlgeschlagenen Versuchen, gefolgt von einem erfolgreichen Versuch, zeigt eine erfolgreiche Brute-Force-Passwort erraten. Eine SIEM-Lösung (Security Information and Event Management) mit effektiven Korrelationsfunktionen kann solche Versuche schnell lokalisieren.
Cybersecurity Insider Newsletter
Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices im Bereich Cybersicherheit auf dem Laufenden halten. Dienstags und donnerstags zugestellt
Melden Sie sich noch heute an
Siehe auch
- Dark Web: Ein Spickzettel für Profis (TechRepublic)
- Tech-Konferenzen und -Veranstaltungen 2020 zum Hinzufügen zu Ihrem Kalender (kostenloses PDF) (TechRepublic-Download)
- Richtlinienpaket: Ethik am Arbeitsplatz (TechRepublic Premium)
- Remote Working 101: Professional’s guide to the tools of the trade (ZDNet)
- 5 beste Standing Desk-Konverter für 2020 (CNET)
- Die 10 wichtigsten iPhone-Apps aller ZeitenDownload.com )
- Tech history: Schauen Sie sich unsere Berichterstattung an (TechRepublic auf Flipboard)