Security Primer-リモートデスクトッププロトコル
概要
リモートデスクトッププロトコル(RDP)は、通常TCPポート3389を介して他のコンピューターへのリモート接続を可能にするマイクロソフト独自のプロトコルです。 でネットワークへのアクセスワーダ-マモーン,遠隔ユーザ上に暗号化されます。 ネットワーク管理者用RDPの診断問題へのログインサーバーを行うその他のリモート行動します。 リモートユーザーが利用RDPにログインの組織”s”ネットワークへのアクセスにメールやファイルです。
Cyber threat actors(Cta)は、ネットワークアクセスを取得するために、インターネットに開かれている誤った構成のRDPポートを使用します。, その後、ネットワーク全体を横方向に移動したり、特権をエスカレートしたり、機密情報にアクセスして流出したり、資格情報を収集したり、さまざまなマルウェアを展開したりする可能性があります。 この一般的な攻撃ベクトルにより、Ctaは正当なネットワークサービスを利用しており、他のリモートユーザーと同じ機能を提供するため、ロープロファイルを維持 Ctaは、Shodan検索エンジンなどのツールを使用して、開いているRDPポートをインターネットをスキャンし、ブルートフォースパスワード技術を使用して脆弱なネットワーク, 侵害されたRDP資格情報は、ダークウェブマーケットプレイスで販売されています。
2018年、Multi-State Information Sharing and Analysis Center(MS-ISAC)は、セキュリティで保護されていないRDPポートを介して、またはパスワードを強制することによって、ネットワークを戦略的にターゲットにするランサムウェ その後、ランサムウェアは侵害されたネットワーク全体に手動で展開され、より高い身代金需要に関連付けられます。,
推奨事項:
- システム上でRDP、ポート3389を開く必要性を評価し、必要に応じて、
- 開いているRDPポートを持つシステムをファイアウォールの背後に置き、ユーザーにファイアウォールを介してVPNインするよう要求します。
- 強力なパスワード、多要素認証、およびアカウントロックアウトポリシーを有効にして、ブルートフォース攻撃から防御します。
- 特定の信頼されたホストへの接続をホワイトリストに登録します。
- 特定の信頼されたホストへの接続をホワイトリストに登録します。
- 許可された管理者以外のアカウントに、可能であれば。, 最小権限の原則に従い、ユーザーがその職務を遂行するために必要な最小レベルのアクセス権を持つことを保証します。
- 異常な活動に対するRDPログ 承認されたユーザーのみがこのサービスにアクセスし
- RDPが必要ない場合は、定期的なチェックを実行してRDPポートが保護されていることを確認します。
- 検証のクラウド環境を遵守するベストプラクティスとして定義されたクラウドサービスプロバイダです。, クラウド環境の設定が完了したら、ビジネス目的で必要な場合を除き、RDPポートが有効になっていないことを確認します。
- 自動Microsoftの更新のための新しいバージョンの両方のクライアントとサーバのソフトウェアがする。
MS-ISACは、国家、地方、部族、領土(SLTT)政府のサイバー脅威の予防、保護、対応、および回復のための焦点です。 このトピックの詳細については、24x7サイバーセキュリティ支援は866-787-4722で入手できます。[email protected]—–, MS-ISACはあなたのコメントに興味があります-匿名のフィードバック調査が利用可能です。