Security Primer-Remote Desktop Protocol (Français)
aperçu
Remote Desktop Protocol (RDP) est un protocole propriétaire de Microsoft qui permet des connexions à distance à d’autres ordinateurs, généralement sur le port TCP 3389. Il fournit un accès réseau à un utilisateur distant via un canal crypté. Les administrateurs réseau utilisent RDP pour diagnostiquer les problèmes, se connecter aux serveurs et effectuer d’autres actions à distance. Les utilisateurs distants utilisent RDP pour se connecter au réseau de l »organisation pour accéder aux e-mails et aux fichiers.
Les acteurs des cybermenaces (CTA) utilisent des ports RDP mal configurés qui sont ouverts à Internet pour accéder au réseau., Ils sont alors en mesure de se déplacer latéralement dans un réseau, d’escalader des privilèges, d’accéder et d’exfiltrer des informations sensibles, de récolter des informations d’identification ou de déployer une grande variété de logiciels malveillants. Ce vecteur d’attaque populaire permet aux CTAs de maintenir un profil bas car ils utilisent un service réseau légitime et leur fournit les mêmes fonctionnalités que tout autre utilisateur distant. Les CTA utilisent des outils, tels que le moteur de recherche Shodan, pour rechercher sur Internet des ports RDP ouverts, puis utilisent des techniques de mot de passe par force brute pour accéder aux réseaux vulnérables., Les informations d’identification RDP compromises sont également largement disponibles à la vente sur les marchés dark web.
en 2018, le Multi-State information Sharing and Analysis Center (MS-ISAC) a observé une augmentation des variantes de ransomwares qui ciblent stratégiquement les réseaux via des ports RDP non sécurisés ou en forçant brutalement le mot de passe. Le ransomware est ensuite déployé manuellement sur l’ensemble du réseau compromis et est associé à des demandes de rançon plus élevées.,
recommandations:
- évaluer la nécessité D’avoir RDP, port 3389, ouvert sur les systèmes et, si nécessaire:
- placer tout système avec un port RDP ouvert derrière un pare-feu et exiger que les utilisateurs VPN via le pare-feu;
- activer les mots de passe forts, l’authentification multifacteur et les politiques de verrouillage connexions RDP aux comptes non administrateurs autorisés, si possible., Respecter le principe du moindre privilège, en veillant à ce que les utilisateurs disposent du niveau d’accès minimum requis pour accomplir leurs tâches; et
- consigner et examiner les tentatives de connexion RDP pour détecter toute activité anormale et conserver ces journaux pendant au moins 90 jours. Assurez-vous que seuls les utilisateurs autorisés accèdent à ce service.
- si RDP n’est pas requis, effectuez des vérifications régulières pour vous assurer que les ports RDP sont sécurisés.
- vérifiez que les environnements cloud respectent les meilleures pratiques, telles que définies par le fournisseur de services cloud., Une fois la configuration de l’environnement cloud terminée, assurez-vous que les ports RDP ne sont pas activés, sauf si cela est requis à des fins commerciales.
- activez les mises à jour automatiques de Microsoft pour vous assurer que les dernières versions des logiciels client et serveur sont en cours d’exécution.
Le MS-ISAC est le point focal pour la prévention, la protection, la réponse et le rétablissement des cybermenaces pour les gouvernements d’état, locaux, tribaux et territoriaux (SLTT) de la nation. Plus d’informations sur ce sujet, ainsi que l’assistance en cybersécurité 24×7 est disponible au 866-787-4722, [email protected]., Le MS-ISAC est intéressé par vos commentaires – un sondage de rétroaction anonyme est disponible.