Bezpečnostní Primer – Remote Desktop Protocol

0 Comments

Přehled

Remote Desktop Protocol (RDP) je Microsoft proprietární protokol, který umožňuje vzdálené připojení k jiným počítačům, typicky přes TCP port 3389. Poskytuje přístup k síti pro vzdáleného uživatele přes šifrovaný kanál. Správci sítě používají RDP k diagnostice problémů, přihlášení k serverům a provádění dalších vzdálených akcí. Vzdálení uživatelé používají RDP k přihlášení do sítě organizace pro přístup k e-mailu a souborům.

Cyber threat actors (CTA) používají nesprávně nakonfigurované porty RDP, které jsou otevřené pro Internet, aby získaly přístup k síti., Oni jsou pak v pozici potenciálně pohybovat příčně v celé síti, eskalace oprávnění, přístup a vyřazení citlivé informace, sklizeň pověření, nebo nasadit širokou škálu malware. Tento populární útočný vektor umožňuje CTA udržovat nízký profil, protože využívají legitimní síťovou službu a poskytuje jim stejnou funkci jako jakýkoli jiný vzdálený uživatel. CTA používají nástroje, jako je vyhledávač Shodan, pro skenování Internetu pro otevřené porty RDP a poté pro přístup k zranitelným sítím používají techniky hesla hrubou silou., Kompromitované pověření RDP jsou také široce dostupné k prodeji na tmavých webových tržištích.

V roce 2018, Multi-Státní Sdílení Informací a Analýzy Centrum (MS-ISAC) pozorováno zvýšení ransomware varianty, které strategicky cílové sítě prostřednictvím nezabezpečené PRV porty nebo hrubou silou heslo. Ransomware je poté ručně nasazen v celé ohrožené síti a je spojen s vyššími požadavky na výkupné.,

Doporučení:

  • Posouzení je třeba mít RDP port 3389, otevřít na systémech, a, pokud je to nutné:
    • místo jakýkoliv systém s otevřeným port protokolu RDP za firewallem a vyžadují, aby uživatelé VPN přes firewall;
    • povolit silná hesla, ověřování multi-faktor a uzamčení účtu politiky na obranu proti brute-force útoky;
    • whitelist kontakty na konkrétní důvěryhodných hostitelů;
    • omezit RDP přihlášení oprávněné non-správce účtů, kde je to možné., Dodržovat Zásadu Nejmenšího Oprávnění, zajistit, že uživatelé mají minimální úroveň přístupu potřebné k plnění jejich povinností; a
    • protokol a hodnocení PRV pokusy o přihlášení pro anomální aktivity a uchovávat tyto záznamy po dobu nejméně 90 dnů. Ujistěte se, že k této službě přistupují pouze autorizovaní uživatelé.
  • pokud není vyžadován RDP, proveďte pravidelné kontroly, abyste zajistili zabezpečení portů RDP.
  • ověřte, že cloudová prostředí dodržují osvědčené postupy, jak je definováno poskytovatelem cloudových služeb., Po dokončení nastavení cloudového prostředí se ujistěte, že porty RDP nejsou povoleny, pokud to není nutné pro obchodní účely.
  • povolte automatické aktualizace společnosti Microsoft, abyste zajistili, že budou spuštěny nejnovější verze klientského i serverového softwaru.

MS-ISAC je ústředním bodem pro prevenci kybernetických hrozeb, ochranu, reakci a zotavení pro národní státní, místní, kmenové a územní vlády (SLTT). Více informací o tomto tématu, stejně jako 24×7 cybersecurity assistance je k dispozici na 866-787-4722, [email protected]., MS-ISAC se zajímá o vaše komentáře-k dispozici je anonymní průzkum zpětné vazby.


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *