Security Primer-Remote Desktop Protocol (Deutsch)

0 Comments

Übersicht

Remote Desktop Protocol (RDP) ist ein proprietäres Microsoft-Protokoll, das Remote-Verbindungen zu anderen Computern ermöglicht, in der Regel über TCP-Port 3389. Es bietet Netzwerkzugriff für einen Remote-Benutzer über einen verschlüsselten Kanal. Netzwerkadministratoren verwenden RDP, um Probleme zu diagnostizieren, sich bei Servern anzumelden und andere Remote-Aktionen auszuführen. Remotebenutzer verwenden RDP, um sich im Netzwerk der Organisation anzumelden, um auf E-Mails und Dateien zuzugreifen.

Cyber Threat Actors (CTAs) verwenden falsch konfigurierte RDP-Ports, die für das Internet offen sind, um Netzwerkzugriff zu erhalten., Sie sind dann in der Lage, sich möglicherweise seitlich in einem Netzwerk zu bewegen, Berechtigungen zu eskalieren, auf vertrauliche Informationen zuzugreifen und diese zu exfiltrieren, Anmeldeinformationen zu sammeln oder eine Vielzahl von Malware bereitzustellen. Dieser beliebte Angriffsvektor ermöglicht es CTAs, ein niedriges Profil beizubehalten, da sie einen legitimen Netzwerkdienst verwenden, und bietet ihnen die gleiche Funktionalität wie jeder andere Remote-Benutzer. CTAs verwenden Tools wie die Shodan-Suchmaschine, um das Internet nach offenen RDP-Ports zu durchsuchen und dann Brute-Force-Passworttechniken für den Zugriff auf anfällige Netzwerke zu verwenden., Kompromittierte RDP-Anmeldeinformationen sind auch auf dunklen Web-Marktplätzen weit verbreitet.

Im Jahr 2018 beobachtete das Multi-State Information Sharing and Analysis Center (MS-ISAC) eine Zunahme von Ransomware-Varianten, die strategisch auf Netzwerke über ungesicherte RDP-Ports oder durch Brute-Erzwingen des Passworts abzielen. Die Ransomware wird dann manuell über das gesamte kompromittierte Netzwerk bereitgestellt und ist mit höheren Lösegeldanforderungen verbunden.,

Empfehlungen:

  • Bewerten Sie die Notwendigkeit, RDP, Port 3389, auf Systemen zu öffnen, und, falls erforderlich:
    • Platzieren Sie jedes System mit einem offenen RDP-Port hinter einer Firewall und fordern Sie Benutzer auf, sich über die Firewall anzumelden;
    • Aktivieren Sie sichere Passwörter, Multi-Faktor-Authentifizierung und Kontosperrungsrichtlinien, um sich gegen Brute-Force-Angriffe zu verteidigen;
    • Whitelist-Verbindungen zu bestimmten vertrauenswürdigen Hosts;
    • beschränken autorisierte Nicht-Administratorkonten, soweit möglich., Halten Sie sich an das Prinzip der geringsten Berechtigungen und stellen Sie sicher, dass Benutzer über den Mindestzugriff verfügen, der zur Erfüllung ihrer Aufgaben erforderlich ist.und
    • protokollieren und überprüfen Sie RDP-Anmeldeversuche auf anomale Aktivitäten und behalten Sie diese Protokolle mindestens 90 Tage lang bei. Stellen Sie sicher, dass nur autorisierte Benutzer auf diesen Dienst zugreifen.
  • Wenn kein RDP erforderlich ist, führen Sie regelmäßige Überprüfungen durch, um sicherzustellen, dass RDP-Ports gesichert sind.
  • Überprüfen Sie, ob Cloud-Umgebungen die vom Cloud-Dienstanbieter definierten Best Practices einhalten., Stellen Sie nach Abschluss der Einrichtung der Cloud-Umgebung sicher, dass RDP-Ports nur aktiviert sind, wenn sie für geschäftliche Zwecke erforderlich sind.
  • Aktivieren Sie automatische Microsoft-Updates, um sicherzustellen, dass die neuesten Versionen der Client-und Serversoftware ausgeführt werden.

Die MS-ISAC ist der Schwerpunkt für Cyber Threat Prevention, Schutz, Reaktion und Erholung für den Staat, lokale, Stammes-und territoriale (SLTT) Regierungen des Landes. Weitere Informationen zu diesem Thema sowie 24×7 Cybersecurity-Unterstützung finden Sie unter 866-787-4722. [email protected], Die MS-ISAC interessiert sich für Ihre Kommentare – eine anonyme Feedback-Umfrage steht zur Verfügung.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.