Security Primer-Remote Desktop Protocol (Magyar)
áttekintés
Remote Desktop Protocol (RDP) egy Microsoft szabadalmaztatott protokoll, amely lehetővé teszi a távoli kapcsolatokat más számítógépekkel, jellemzően a TCP port 3389. Hálózati hozzáférést biztosít egy távoli felhasználó számára titkosított csatornán keresztül. A hálózati rendszergazdák az RDP-t használják a problémák diagnosztizálására, a kiszolgálókra való bejelentkezésre, valamint más távoli műveletek végrehajtására. A távoli felhasználók RDP-vel bejelentkeznek a szervezet hálózatába az e-mailek és fájlok eléréséhez.
Cyber threat actors (Ctaas) használja rosszul konfigurált RDP portok, amelyek nyitottak az interneten, hogy hálózati hozzáférést., Ők abban a helyzetben, hogy potenciálisan mozog oldalirányban egész hálózat, megnőnek jogosultságok, hozzáférési, illetve kivonni érzékeny információkat, termés adatait, vagy telepíteni a legkülönbözőbb kártevők. Ez a népszerű támadási vektor lehetővé teszi, CTAs fenntartása alacsony profil, mivel ezek felhasználásával egy legális hálózati szolgáltatás, amely őket ugyanaz a funkciója, mint bármely más, távoli felhasználó. A CTA-k olyan eszközöket használnak, mint például a Shodan keresőmotor, hogy az internetet nyílt RDP portokra szkenneljék, majd brute force password technikákat használjanak a sebezhető hálózatok eléréséhez., A veszélyeztetett RDP hitelesítő adatok széles körben elérhetők a sötét internetes piacokon is.
2018-Ban, a Multi-Tagállam Információ-Megosztás, Elemzési Központ (MS-ISAC) megfigyelt növekedése ransomware változatok stratégiai cél hálózatok keresztül, biztonságos RDP kikötőkben, vagy a nyers kényszerítve a jelszót. A zsarolóprogramokat ezután manuálisan telepítik az egész veszélyeztetett hálózaton, és magasabb váltságdíj-igényekhez kapcsolódnak.,
Ajánlások:
- Értékelni kell, hogy az RDP, a 3389 -, nyissa ki a rendszer, illetve, ha szükséges:
- a hely olyan rendszer nyitott RDP port tűzfal mögött, majd a felhasználóknak, hogy a VPN-be a tűzfalon keresztül;
- engedélyezés erős jelszavak, többtényezős, valamint a számla lockout politikák, hogy megvédje a brute-force támadások;
- whitelist kapcsolatok konkrét megbízható házigazdák;
- korlátozza az RDP bejelentkezések a jogosult nem a rendszergazdai fiókok, ahol lehetséges., Tartsa be a legkisebb kiváltság elvét, biztosítva, hogy a felhasználók rendelkezzenek a feladataik ellátásához szükséges minimális hozzáféréssel; és
- jelentkezzen be és tekintse át az RDP rendellenes tevékenységekre vonatkozó bejelentkezési kísérleteit, és tartsa meg ezeket a naplókat legalább 90 napig. Győződjön meg róla, hogy csak a jogosult felhasználók férnek hozzá ehhez a szolgáltatáshoz.
- ha nincs szükség RDP-re, végezzen rendszeres ellenőrzéseket az RDP-portok biztonságának biztosítása érdekében.
- ellenőrizze, hogy a felhőkörnyezetek betartják-e a felhőszolgáltató által meghatározott legjobb gyakorlatokat., Miután a cloud environment beállítása befejeződött, győződjön meg arról, hogy az RDP portok nem engedélyezettek, kivéve, ha üzleti célra szükségesek.
- engedélyezze az automatikus Microsoft-frissítéseket annak érdekében, hogy mind az ügyfél, mind a szerver szoftver legújabb verziói futhassanak.
az MS-ISAC a kiberfenyegetések megelőzésének, védelmének, reagálásának és helyreállításának fókuszpontja a nemzetállam, a helyi, törzsi és területi (SLTT) kormányok számára. További információ a témáról, valamint 24×7 kiberbiztonsági támogatás áll rendelkezésre 866-787-4722, [email protected]., Az MS-ISAC érdekli a megjegyzéseket-anonim visszajelzési felmérés áll rendelkezésre.