Sikkerhed Primer – Remote Desktop Protocol

0 Comments

Oversigt

Remote Desktop Protocol (RDP) er en Microsoft proprietær protokol, der muliggør fjernbetjening-forbindelser til andre computere, typisk via TCP-port 3389. Det giver netværksadgang til en ekstern bruger over en krypteret kanal. Netværksadministratorer bruger RDP til at diagnosticere problemer, logge ind på servere og udføre andre fjernhandlinger. Fjernbrugere bruger RDP til at logge ind på organisationens”netværk for at få adgang til e-mail og filer.Cyber threat actors (CTA ‘ er) bruger fejlkonfigurerede RDP-porte, der er åbne for internettet for at få netværksadgang., De er så i stand til potentielt at bevæge sig sideværts i hele et netværk, eskalere privilegier, adgang og e .filtrate følsomme oplysninger, høst legitimationsoplysninger, eller implementere en bred vifte af Mal .are. Denne populære angrebsvektor tillader CTA ‘ er at opretholde en lav profil, da de bruger en legitim netværkstjeneste og giver dem den samme funktionalitet som enhver anden fjernbruger. CTA ‘ er bruger værktøjer, såsom Shodan-søgemaskinen, til at scanne internettet efter åbne RDP-porte og derefter bruge brute force-adgangskodeteknikker til at få adgang til sårbare netværk., Kompromitterede RDP legitimationsoplysninger er også bredt tilgængelige til salg på mørke marketeb markedspladser.

i 2018 observerede Multi-State Information Sharing and Analysis Center (MS-ISAC) en stigning i Ransom .are-varianter, der strategisk målretter netværk gennem usikrede RDP-porte eller ved brute at tvinge adgangskoden. Den ransom .are derefter manuelt indsat på tværs af hele kompromitteret netværk og er forbundet med højere krav til løsepenge.,

Forslag:

  • Vurdere behovet for at have RDP, port 3389, åbne systemer og, hvis nødvendigt:
    • placere et system med en åben RDP-port bag en firewall og kræver, at brugerne til VPN i gennem firewall ‘ en;
    • aktivér stærke adgangskoder, multi-faktor-autentificering, og konto lockout politikker til at forsvare sig mod brute-force-angreb;
    • whitelist forbindelser til specifikke betroede værter;
    • begrænse RDP logins til autoriseret ikke-administrator-konti, hvor det er muligt., Overholde princippet om mindst privilegium og sikre, at brugerne har det minimumsniveau for adgang, der kræves for at udføre deres opgaver; og
    • log og gennemgå RDP login forsøg på uregelmæssig aktivitet og opbevar disse logfiler i mindst 90 dage. Sørg for, at kun autoriserede brugere har adgang til denne tjeneste.
  • hvis RDP ikke er påkrævet, skal du udføre regelmæssige kontroller for at sikre, at RDP-porte er sikret.
  • Bekræft cloud-miljøer overholder bedste praksis, som defineret af cloud-tjenesteudbyderen., Når opsætningen af skymiljøer er afsluttet, skal du sikre dig, at RDP-porte ikke er aktiveret, medmindre det kræves til et forretningsformål.
  • Aktivér Microsoft automatiske Opdateringer for at sikre, at de nyeste versioner af både klient og server-software, der kører.MS-ISAC er omdrejningspunktet for forebyggelse af cybertrusler, beskyttelse, reaktion og genopretning for landets statslige, lokale, stammeledere og territoriale (SLTT) regeringer. Mere information om dette emne, samt 24 ,7 cybersikkerhed bistand er tilgængelig på 866-787-4722, [email protected], MS-ISAC er interesseret i dine kommentarer – en anonym feedback undersøgelse er tilgængelig.


Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *