december 26, 2021

hogyan lehet jobban megvédeni a Microsoft Távoli asztali protokoll kapcsolatait

 irodai alkalmazott
kép: Getty Images/

a koronavírus terjedésével az egész világon, egyre több ember dolgozik otthon a társadalmi távolságtartás gyakorlásának módjaként. De a távoli munkavállalóknak továbbra is a legjobb képességeik szerint kell végezniük munkájukat. Néha ez azt jelenti, hogy a vállalaton belül egy munkaállomáshoz vagy szerverhez kell csatlakozni a legfontosabb feladatok elvégzéséhez. Ehhez sok Windows számítógéppel rendelkező szervezet támaszkodik a Microsoft Távoli asztali Protokolljára (RDP). Az olyan beépített eszközök használatával, mint a Távoli asztali kapcsolat, az emberek hozzáférhetnek a távoli gépekhez és dolgozhatnak velük.

az RDP-t az évek során különböző biztonsági rések és akadályok sújtották. Legfőképpen 2019 A BlueKeep néven ismert biztonsági rést eredményezett, amely lehetővé teheti a számítógépes bűnözők számára, hogy távolról átvegyék a csatlakoztatott számítógépet, amely nincs megfelelően javítva. Továbbá a hackerek folyamatosan brute force támadásokat használnak, hogy megpróbálják megszerezni a Távoli asztali hozzáféréssel rendelkező fiókok felhasználói hitelesítő adatait. Ha sikeres, akkor hozzáférhetnek az adott fiókhoz beállított távoli munkaállomásokhoz vagy szerverekhez. Ezen okok miatt a szervezeteknek bizonyos biztonsági intézkedéseket kell elfogadniuk, hogy megvédjék magukat a Microsoft RDP használatakor.

lásd: hogyan kell otthonról dolgozni: az IT pro útikönyve a távmunkához és a távmunkához (TechRepublic Premium)

a következő Q& a, Jerry Gamblin, a Kenna Security fő biztonsági mérnöke és A. N. Ananth, a netsurion menedzselt biztonsági szolgáltatójának stratégiai igazgatója gondolatait és tanácsait kínálja az RDP-t használó szervezetek számára.

milyen biztonsági réseket és hibákat kell a szervezeteknek tisztában lenniük az RDP – vel?

Gamblin: mint minden sebezhetőség, fontos, hogy kockázatalapú megközelítést alkalmazzunk, és prioritásként kezeljük azokat az RDP sebezhetőségeket, amelyek ismert fegyveres nyilvános kihasználásokkal rendelkeznek, mint például a CVE-2019-0708 (BlueKeep). A biztonsági rések javítása fegyveres nyilvános kihasználások nélkül, mint például a CVE-2020-0660, biztonságosan tartható a szokásos javítási ütemben.

Ananth: A Windows verzióiban megvalósított RDP, beleértve a Server 2008/12 R2, 7, 8.1, 10-et, ismert, hogy sérülékeny a CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 és CVE-2019-1226. 2019 közepétől mintegy 800 millió felhasználót tekintettek sebezhetőnek. Ezeknek a sebezhetőségeknek a kihasználása 2018 óta eladó az internetes bűnügyi piacokon.

a régebbi, sérülékeny kiszolgálókat gyakran lassabb ciklusban javítják, ami meghosszabbítja az ilyen sebezhetőségek élettartamát. Webrobotok, mint shodan.az io megkönnyíti a támadók számára a sebezhető nyilvános gépek gyors azonosítását. Világszerte több mint kétmillió rendszer van kitéve az internetnek az RDP-n keresztül, ebből több mint 500 000 az Egyesült Államokban található.

hogyan próbálják a hackerek és a kiberbűnözők kihasználni az RDP fiókokat és kapcsolatokat?

Gamblin: az RDP biztonsági rés megtalálása és kihasználása lesz az első lépés egy támadási láncban, amelyet valószínűleg a belső adattárak és címtárszolgáltatások megtámadására használnak, hogy vagy pénzügyi indítékot, vagy a műveletek megzavarásának képességét befolyásolják.

Ananth: Az egyik általános taktika az RDP brutális kényszerítése, ahol a támadók sok bejelentkezési kísérletet automatizálnak közös hitelesítő adatokkal, remélve, hogy az egyik eltalálja. A második magában foglalja a szoftver sebezhetőségének kihasználását az RDP-kiszolgáló irányításának megszerzése érdekében. Például a támadók kihasználhatják a BlueKeep-et (CVE-2019-0708), hogy teljes irányítást szerezzenek a felügyelt szolgáltató (MSP) javítatlan RDP szerverei felett.

egy új modul Trickbot kifejezetten megpróbálja brute-force RDP számlák. A Sodinokibi és a GandCrab rosszindulatú támadások RDP modulokat tartalmaznak. A Ryuk ransomware, amely különösen aktív volt az 1Q 2020-ban, az RDP-t oldalirányban terjeszti, miután megszerezte a kezdeti lábát. A RobinHood támadás Baltimore városa ellen 2019 májusában, valamint a SamSam támadás Atlanta városa ellen 2018 augusztusában példák az RDP-ből származó támadásokra.

milyen biztonsági lehetőségeket kell bevezetniük a szervezeteknek, hogy jobban megvédjék magukat az RDP-fiókokat és kapcsolatokat fenyegető veszélyekkel szemben?

Gamblin: sok kivétel nélkül minden RDP-példánynak több szintű hozzáférést és hitelesítési vezérlést kell igényelnie. Ez magában foglalja a VPN használatát egy RDP példány eléréséhez, és egy második tényezőt (például Duo) igényel a hitelesítéshez. Néhány nagyobb szervezet közvetlenül az interneten helyezi el az RDP-t, de a legtöbb (remélhetőleg) ezt tudatlanul teszi. Ennek ellenőrzése nagyon egyszerű; csak gyújtsa fel kedvenc internetes szkennerét, és nézze meg az összes közvetlenül kitett RDP-példányt.

Ananth: van néhány beépített, költségmentes védelem, amely képes biztosítani az RDP-t. Ezek a következők:

  • javítás: Tartsa a szervereket különösen naprakészen.
  • összetett jelszavak: Használjon kétfaktoros hitelesítést is, és hajtson végre zárolási házirendeket.
  • alapértelmezett port: módosítsa az RDP által használt alapértelmezett portot 3389-ről valami másra a rendszerleíró adatbázisban.
  • Windows tűzfal: használja a beépített Windows tűzfalat az RDP-munkamenetek IP-cím szerinti korlátozásához.
  • hálózati szintű hitelesítés (NLA): az NLA engedélyezése, amely a régebbi verzióknál nem alapértelmezett.
  • RDP hozzáférés korlátozása: RDP hozzáférés korlátozása egy adott felhasználói csoporthoz. Ne engedje, hogy bármely domain adminisztrátor hozzáférjen az RDP-hez.
  • alagút RDP hozzáférés: alagút hozzáférés IPSec vagy Secure Shell (SSH) segítségével.

azonban még ha ezeket a megelőző és keményítő lépéseket is megtette, nem garantálhatja a biztonságot. Monitor RDP hasznosítása. Keresse meg az első alkalommal látott és rendellenes viselkedést. A sikertelen kísérletek sorozata, amelyet egy sikeres kísérlet követ, a sikeres brute force jelszó kitalálását jelzi. A hatékony korrelációs képességekkel rendelkező biztonsági információ-és eseménykezelő (Siem) megoldás gyorsan meghatározhatja az ilyen kísérleteket.

Cybersecurity Insider Newsletter

erősítse meg szervezete informatikai biztonsági védelmét azáltal, hogy lépést tart a legújabb kiberbiztonsági hírekkel, megoldásokkal és bevált gyakorlatokkal. Szállítva kedden és csütörtökön

regisztrálj még ma

Lásd még:

  • Dark Web: a cheat sheet for professionals (TechRepublic)
  • 2020-as technikai konferenciák és események a naptáradhoz (ingyenes PDF) (TechRepublic letöltés)
  • politikai csomag: Munkahelyi etika (TechRepublic Premium)
  • Remote working 101: szakmai útmutató a kereskedelem eszközeihez (ZDNet)
  • 5 legjobb álló asztali átalakító 2020-ra (CNET)
  • minden idők 10 legfontosabb iPhone-alkalmazása (Download.com)
  • Tech history: Nézze meg a lefedettség (TechRepublic on Flipboard)

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.