보안 프라이머–원격 데스크톱 프로토콜
개요
Remote Desktop Protocol(RDP)Microsoft 독점할 수 있도록 하는 프로토콜 원격 연결을 다른 컴퓨터에 일반적으로 TCP 를 통 포트 3389. 암호화 된 채널을 통해 원격 사용자에 대한 네트워크 액세스를 제공합니다. 네트워크 관리자는 rdp 를 사용하여 문제를 진단하고 서버에 로그인하며 다른 원격 작업을 수행합니다. 원격 사용자는 rdp 를 사용하여 조직의 네트워크에 로그인하여 전자 메일 및 파일에 액세스합니다.
CTAs(Cyber threat actors)는 인터넷에 열려 있는 잘못 구성된 RDP 포트를 사용하여 네트워크 액세스를 얻습니다., 그들은 다음 위치에 잠재적으로 옆으로 움직일 통하여 네트워크,에스컬레이 권한 액세스 몰래 민감한 정보를 수확 자격 증명,또는 배포하는 다양한 프로그램입니다. 이 인기있는 공격할 수 있습 CTAs 을 유지하는 낮은 프로파일 이후 그들은 그들을 활용하여 합법적인 네트워크 서비스 제공과 같은 기능을 다른 원격 사용자. CTAs 도구를 사용하여,같은 Shodan 검색 엔진 검사를 인터넷에 대한 열 RDP 포트 그리고 다음을 무력을 사용하는 암호 기술이 취약한 액세스 네트워크입니다., 손상된 RDP 자격 증명은 어두운 웹 마켓 플레이스에서 판매하기 위해 널리 사용할 수 있습니다.
에서 2018,다중 상태 정보를 공유 분석 센터(MS-ISAC)증가를 관찰 랜 섬 개 그는 전략적으로 대상 네트워크를 통해 무담보 RDP 포트 또는에 의 짐승을 강제로 암호입니다. 그런 다음 랜섬웨어는 손상된 네트워크 전체에 수동으로 배포되며 더 높은 몸값 요구와 관련이 있습니다.,
권장 사항:
- 을 평가해야 할 RDP,포트 3389,열려 있는 시스템에서 그리고,필요한 경우:
- 어떤 시스템 RDP 포트 뒤에 방화벽하고 사용자가 필요하 VPN 에서 방화벽을 통해;
- 사용 강력한 암호,다단계 인증며,계정을 잠금 정책에 대한 방어 brute-force attacks;
- whitelist 연결하는 신뢰할 수 있는 특정 호스트;
- 제한 RDP 로그인 권한 있는 비-관리자 계정을 어디 가능합니다., 의 원칙을 준수 이상 특권,사용자에게 최소한 수준의 액세스를 달성하기 위해 필요한 업무 수행 과
- 로그인 검토 RDP 로그인을 시도한 비정상적인 활동을 유지 이 로그를 위한 최소한 90 일입니다. 권한이 있는 사용자만 이 서비스에 액세스하고 있는지 확인합니다.
- RDP 가 필요하지 않은 경우 정기적 인 검사를 수행하여 RDP 포트가 확보되었는지 확인하십시오.
- 클라우드 서비스 공급자가 정의한대로 클라우드 환경이 모범 사례를 준수하는지 확인하십시오., 클라우드 환경 설정이 완료되면 비즈니스 목적에 필요한 경우가 아니면 RDP 포트가 활성화되지 않았는지 확인하십시오.
- 자동 Microsoft 업데이트를 활성화하여 클라이언트 및 서버 소프트웨어의 최신 버전이 모두 실행되고 있는지 확인합니다.
MS-ISAC 점에 대한 사이버 위협을 방지,보호,반응 및 복구를 위한 국가의 국가,지역,부족,그리고 영토(SLTT)정부. 이에 대한 자세한 내용은 주제뿐만 아니라,24×7 사이버 보안내에서 사용할 수 있 866-787-4722,[email protected]., MS-ISAC 은 귀하의 의견에 관심이 있습니다-익명의 피드백 설문 조사가 가능합니다.