microsoft Remote Desktop Protocol接続の安全性を向上させる方法
コロナウイルスが世界中に広がっているため、より多くの人々が社会的距離を練習する方法として自宅で働いています。 しかし、リモートワーカーはまだ自分の能力を最大限に自分の仕事をする必要があります。 時には、それは重要なタスクを実行するために、会社内のワークステーションやサーバーに接続することを意味します。 そのために、Windowsコンピュータを使用する多くの組織は、Microsoftのリモートデスクトッププロトコル(RDP)に依存しています。 リモートデスクトップ接続などの組み込みツールを使用して、人々はリモートマシンにアクセスして作業することができます。
RDPは長年にわたり様々なセキュリティホールや障害に見舞われてきました。 最も顕著なのは、2019年にBlueKeepとして知られる脆弱性が発生し、サイバー犯罪者が適切にパッチが適用されていない接続されたPCをリモートで引き継ぐことが さらに、ハッカーはブルートフォース攻撃を継続的に使用して、リモートデスクトップアクセスを持つアカウントのユーザー資格情報を取得しようとします。 成功すると、そのアカウント用に設定されたリモートワークステーションまたはサーバーにアクセスできます。 これらの理由などから、組織はMicrosoftのRDPを使用するときに自分自身を保護するために特定のセキュリティ対策を採用する必要があります。
以下のQ&A、Jerry Gamblin、Kenna Securityのプリンシパルセキュリティエンジニア、およびA.N. マネージドセキュリティサービスプロバイダー Netsurionの最高戦略責任者であるAnanthは、RDPを使用する組織に対して考えやアドバイスを提供します。
rdpで組織が認識すべきセキュリティ上の脆弱性と欠陥は何ですか?
Gamblin:すべての脆弱性と同様に、リスクベースのアプローチをとり、CVE-2019-0708(BlueKeep)のような兵器化された公共の悪用が知られているrdp脆弱性のパッチ適用に優先順位を付けることが重要です。 CVE-2020-0660のような武器化された公開エクスプロイトのないパッチ適用の脆弱性は、通常のパッチ適用のケイデンスを維持しても安全です。Ananth:Server2008/12R2、7、8.1、10を含むwindowsのバージョンで実装されているRDPは、cve-2020-0609、CVE-2020-0610、CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、およびCVE-2019として説明されている脆弱性があります。-1226 2019年半ばの時点で、約800万人のユーザーが脆弱であると考えられています。 これらの脆弱性に対するエクスプロイトは、2018年からweb criminal marketplacesで販売されています。
脆弱な古いサーバーは、多くの場合、より遅いサイクルでパッチが適用され、これはそのような脆弱性の寿命を延長します。 ShodanのようなWebクローラー。ioは、攻撃者が脆弱な公共向けマシンを迅速に識別することを容易にします。 世界的には、200万以上のシステムがRDPを介してインターネットに公開されており、そのうち500,000以上が米国にあります。
ハッカーやサイバー犯罪者は、RDPアカウントと接続をどのように活用しようとしますか?
Gamblin:RDPの脆弱性を発見して悪用することは、内部のデータストアやディレクトリサービスを攻撃するために使用される可能性が高い攻撃チェーンの最初
アナンス: 一般的な戦術の一つは、攻撃者が一つのヒットを期待して、共通の資格情報を使用して多くのログイン試行を自動化するrdpブルートフォーシングです。 第二には、rdpサーバーの制御を得るためにソフトウェアの脆弱性を悪用することが含まれます。 たとえば、攻撃者はBlueKeep(CVE-2019-0708)を悪用して、マネージドサービスプロバイダー(MSP)のパッチが適用されていないRDPサーバーを完全に制御する可能性があります。
Trickbotの新しいモジュールは、特にrdpアカウントをブルートフォースしようとします。 SodinokibiとGandCrabのマルウェア攻撃にはRDPモジュールが組み込まれています。 2020年に特に活躍している琉球新報は、当初の足場が得られた後に横方向に広がるためにRDPを使用しています。 2019年5月のボルチモア市に対するRobinHood攻撃と2018年8月のアトランタ市に対するSamSam攻撃は、RDPによる攻撃の例です。
RDPアカウントや接続に対する脅威から身を守るために、組織はどのようなセキュリティオプションを導入すべきでしょうか。
Gamblin:多くの例外を除いて、すべてのRDPインスタンスには複数のレベルのアクセスと認証制御が必要です。 これには、VPNを使用してRDPインスタンスにアクセスし、認証に2番目の要素(Duoなど)を必要とすることが含まれます。 いくつかの主要な組織は、インターネット上で直接RDPを配置しますが、ほとんどの(うまくいけば)無意識のうちにこれをやっています。 ちょうどあなたのお気に入りのインターネット全体のスキャナを起動し、直接公開されたすべてのRDPインスタンスを見てください。
Ananth:RDPを保護することができるいくつかの組み込みの、無償の防御があります。 これらは次のとおりです:
- パッチ適用:サーバーを特に最新の状態に保ちます。
- : また、二要素認証を使用し、ロックアウトポリシーを実装します。
- デフォルトポート:Rdpで使用されるデフォルトポートを3389からレジストリを介して別のものに変更します。
- Windowsファイアウォール:組み込みのWindowsファイアウォールを使用して、IPアドレスによってRDPセッションを制限します。
- ネットワークレベル認証(NLA):古いバージョンではデフォルトではないNLAを有効にします。
- Rdpアクセスの制限:特定のユーザグループへのRDPアクセスを制限します。 ドメイン管理者がRDPにアクセスすることを許可しないでください。
- トンネルRDPアクセス:IPSecまたはSecure Shell(SSH)経由のトンネルアクセス。
しかし、これらの予防と硬化の手順をすべて行っても、安全性を保証することはできません。 RDPの使用率を監視します。 初めて見た異常な行動を探してください。 失敗した試行の後に成功した試行が連続していることは、ブルートフォースのパスワード推測が成功したことを示しています。 効果的な相関機能を備えたセキュリティ情報およびイベント管理(SIEM)ソリューションは、このような試みを迅速に特定できます。
Cybersecurity Insider Newsletter
最新のサイバーセキュリティニュース、ソリューション、ベストプラクティスに遅れないようにすることで、組織のITセキュリティ防御を強化します。 火曜日と木曜日に配信
今日サインアップ
また、カレンダーに追加する
- ダークウェブ:専門家のためのチートシート(TechRepublic)
- 2020Tech conferences and events(無料のPDF)(techrepublicダウンロード)(Techrepublicダウンロード)を参照してください。
- Policy pack: 職場倫理(TechRepublic Premium)
- リモート作業101:貿易のツールへの専門家のガイド(ZDNet)
- 2020年のための5つのベストスタンディングデスクコンバータ(CNET)
- すべての時間の10Download.com)
- 技術履歴:私たちのカバレッジをチェック(フリップボード上のTechRepublic)