jak lepiej zabezpieczyć połączenia protokołu Microsoft Remote Desktop
wraz z rozprzestrzenianiem się koronawirusa na całym świecie, więcej osób pracuje z domu jako sposób na praktykowanie dystansu społecznego. Ale pracownicy zdalni nadal muszą wykonywać swoją pracę najlepiej jak potrafią. Czasami oznacza to podłączenie do stacji roboczej lub serwera w firmie w celu wykonania kluczowych zadań. W tym celu wiele organizacji z komputerami z systemem Windows opiera się na protokole zdalnego pulpitu firmy Microsoft (RDP). Korzystając z takich wbudowanych narzędzi, jak połączenie pulpitu zdalnego, ludzie mogą uzyskać dostęp i pracować ze zdalnymi maszynami.
RDP został dotknięty przez różne luki w zabezpieczeniach i przeszkody na przestrzeni lat. Przede wszystkim w 2019 r.pojawiła się luka znana jako BlueKeep, która może umożliwić cyberprzestępcom zdalne przejęcie podłączonego komputera, który nie jest prawidłowo załatany. Ponadto hakerzy nieustannie używają ataków brute force, aby spróbować uzyskać poświadczenia użytkowników kont z dostępem do pulpitu zdalnego. Jeśli to się powiedzie, mogą uzyskać dostęp do zdalnych stacji roboczych lub serwerów skonfigurowanych dla tego konta. Z tych i nie tylko powodów organizacje muszą przyjąć pewne środki bezpieczeństwa, aby chronić się podczas korzystania z PROW firmy Microsoft.
zobacz: How to work from home: it pro ’ s guidebook to telecommuting and remote work (TechRepublic Premium)
w poniższym Q& a, Jerry Gamblin, główny inżynier bezpieczeństwa w Kenna Security i A. N. Ananth, chief strategy officer w managed security service provider Netsurion, oferuje swoje przemyślenia i porady dla organizacji korzystających z PROW.
jakie luki w zabezpieczeniach i wady powinny być znane organizacjom z PROW?
Gamblin: podobnie jak wszystkie luki w zabezpieczeniach, ważne jest, aby przyjąć podejście oparte na ryzyku i nadać priorytet łataniu luk w zabezpieczeniach RDP, które znały uzbrojone publiczne exploity, takie jak CVE-2019-0708 (BlueKeep). Łatanie luk bez uzbrojonych publicznych exploitów, takich jak CVE-2020-0660, jest bezpieczne w normalnym tempie łatania.
Ananth: RDP zaimplementowane w wersjach systemu Windows, w tym Server 2008/12 R2, 7, 8.1, 10, są znane jako narażone na exploity opisane jako CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 i CVE-2019-1226. Od połowy 2019 r. około 800 milionów użytkowników uważano za wrażliwych. Exploity dla tych luk są sprzedawane na internetowych rynkach przestępczych od 2018 roku.
starsze serwery, które są podatne, są często łatane w wolniejszym cyklu, co wydłuża żywotność takich luk. Roboty internetowe jak shodan.funkcje io ułatwiają atakującym szybką identyfikację wrażliwych publicznych maszyn. Na całym świecie ponad dwa miliony systemów są narażone na dostęp do Internetu za pośrednictwem PROW, z czego ponad 500 000 znajduje się w USA.
jak hakerzy i cyberprzestępcy próbują wykorzystać konta i połączenia RDP?
Gamblin: znalezienie i wykorzystanie luki w zabezpieczeniach PROW będzie pierwszym krokiem w łańcuchu ataków, który prawdopodobnie zostanie użyty do ataku na wewnętrzne sklepy danych i usługi katalogowe w celu zmiany motywu finansowego lub możliwości zakłócenia operacji.
Ananth: Jedną z powszechnych taktyk jest brutalne wymuszanie RDP, w którym atakujący automatyzują wiele prób logowania przy użyciu wspólnych poświadczeń, mając nadzieję, że ktoś trafi. Drugi polega na wykorzystaniu luki w oprogramowaniu, aby uzyskać kontrolę nad serwerem RDP. Na przykład atakujący mogą wykorzystać BlueKeep (CVE-2019-0708), aby uzyskać pełną kontrolę nad niezrównanymi serwerami RDP dostawcy usług zarządzanych (MSP).
nowy moduł w Trickbocie specjalnie próbuje brutalnie wymusić konta RDP. Ataki złośliwego oprogramowania Sodinokibi i GandCrab zawierają moduły RDP. Ryuk ransomware, który był szczególnie aktywny w pierwszym kwartale 2020 r., wykorzystuje RDP do rozprzestrzeniania się w bok po zdobyciu początkowego przyczółka. Atak RobinHood na miasto Baltimore w maju 2019 r.i atak SamSam na miasto Atlanta w sierpniu 2018 r. to przykłady ataków z PROW.
jakie opcje bezpieczeństwa powinny wprowadzić organizacje, aby lepiej chronić się przed zagrożeniami dla kont i połączeń RDP?
Gamblin: bez wielu WYJĄTKÓW, wszystkie instancje RDP powinny wymagać wielu poziomów Kontroli dostępu i uwierzytelniania. Obejmowałoby to użycie VPN do uzyskania dostępu do instancji RDP i Wymaganie drugiego czynnika (takiego jak Duo) do uwierzytelniania. Niektóre duże organizacje umieszczają RDP bezpośrednio w Internecie, ale większość (miejmy nadzieję) robi to nieświadomie. Sprawdzenie tego jest dość proste; wystarczy odpalić swój ulubiony skaner internetowy i spojrzeć na wszystkie instancje RDP bezpośrednio odsłonięte.
Ananth: istnieje kilka wbudowanych, bezpłatnych zabezpieczeń, które mogą zabezpieczyć RDP. Należą do nich:
- łatanie: utrzymuj serwery szczególnie aktualne.
- hasła złożone: Korzystaj również z uwierzytelniania dwuskładnikowego i wdrażaj zasady blokowania.
- domyślny port: Zmień domyślny port używany przez RDP z 3389 na inny za pośrednictwem rejestru.
- Zapora systemu Windows: użyj wbudowanej zapory systemu Windows, aby ograniczyć sesje RDP według adresu IP.
- Uwierzytelnianie na poziomie sieci (NLA): Włącz funkcję NLA, która nie jest domyślna w starszych wersjach.
- Ogranicz dostęp RDP: Ogranicz dostęp RDP do określonej grupy użytkowników. Nie zezwalaj żadnemu administratorowi domeny na dostęp do protokołu RDP.
- dostęp do tunelu RDP: dostęp do tunelu przez IPSec lub Secure Shell (SSH).
jednak nawet jeśli podejmiesz wszystkie te kroki zapobiegawcze i utwardzające, nie można zagwarantować bezpieczeństwa. Monitoruj wykorzystanie RDP. Szukaj po raz pierwszy widzianego i anomalnego zachowania. Kolejne nieudane próby, po których następuje udana próba, wskazują na pomyślne odgadnięcie hasła brute force. Rozwiązanie Siem (Security Information and Event Management) z efektywnymi możliwościami korelacji może szybko wskazać takie próby.
Cybersecurity Insider Newsletter
wzmocnij ochronę bezpieczeństwa IT swojej organizacji, śledząc najnowsze wiadomości, rozwiązania i najlepsze praktyki w zakresie cyberbezpieczeństwa. Dostawa we wtorki i czwartki
Zapisz się już dziś
Zobacz również
- Dark Web: Ściągawka dla profesjonalistów (TechRepublic)
- 2020 Tech konferencje i Wydarzenia do dodania do kalendarza (bezpłatny PDF) (Pobierz TechRepublic)
- Policy pack: Etyka w miejscu pracy (TechRepublic Premium)
- praca zdalna 101: profesjonalny przewodnik po narzędziach handlu (ZDNet)
- 5 najlepszych konwerterów biurkowych na rok 2020 (CNET)
- 10 najważniejszych aplikacji na iPhone ’ a wszech czasów (Download.com)
- historia technologii: sprawdź nasze relacje (TechRepublic na Flipboardzie)