Sikkerhet Primer – Remote Desktop Protocol

0 Comments

Oversikt

RDP (Remote Desktop Protocol) er en windows proprietær protokoll som gjør det mulig for eksterne tilkoblinger til andre datamaskiner, vanligvis over TCP-port 3389. Det gir tilgang til nettverk for en ekstern bruker over en kryptert kanal. Network administratorer bruker RDP til å diagnostisere problemer, logge inn for å servere, og til å utføre andre eksterne handlinger. Eksterne brukere bruke RDP å logge deg inn i organisasjonen»s nettverk for å få tilgang til e-post og filer.

Cyber-trusselen aktører (CTAs) bruk feilkonfigurert RDP-porter som er åpne for Internett for å få tilgang til nettverk., De er da i en posisjon til å potensielt beveger seg sideveis gjennom et nettverk, eskalere rettigheter, tilgang og exfiltrate sensitiv informasjon, harvest legitimasjon, eller distribuerer et bredt utvalg av malware. Denne populære angrepsvektor lar CTAs for å opprettholde en lav profil siden de benytter en legitim nettverkstjeneste, og gir dem med samme funksjonalitet som alle andre eksterne brukeren. CTAs bruke verktøy, slik som Shodan søkemotor, for å skanner Internett for åpne RDP-porter og deretter bruke brute force passord teknikker for å få tilgang til sårbare nettverk., Kompromittert RDP legitimasjon er også allment tilgjengelig for salg på mørke nettet markedsplasser.

I 2018, Multi-State Information Sharing and Analysis Center (MS-ISAC) observert en økning i ransomware varianter som strategisk mål nettverk gjennom usikrede RDP-porter eller ved å rå å tvinge passord. Ransomware er deretter manuelt distribuert over hele kompromittert nettverk og er assosiert med høyere løsepenger krav.,

Anbefalinger:

  • Vurdere behovet for å ha RDP, port 3389, åpne på systemer og, hvis nødvendig:
    • sted til et system med en åpen RDP-port bak en brannmur, og krever at brukerne å VPN i gjennom brannmuren;
    • aktiver sterke passord, multi-faktor autentisering, og konto lockout politikk for å forsvare seg mot brute-force angrep;
    • tillate tilkoblinger til bestemte klarerte verter;
    • begrense RDP innlogginger til godkjente ikke-administrator kontoer, der det er mulig., Overholde Prinsippet om Minst Privilegium, å sikre at brukerne har minimum nivå av tilgang kreves for å utføre sine plikter, og
    • logg og gjennomgang RDP påloggingsforsøk for unormal aktivitet og beholde disse loggene for minst 90 dager. Sikre at bare autoriserte brukere har tilgang til denne tjenesten.
  • Hvis RDP er ikke nødvendig, utføre regelmessige kontroller for å sikre RDP-porter er sikret.
  • Kontroller cloud miljøer følge beste praksis, slik den er definert av cloud tjenesteleverandøren., Etter cloud-miljø installasjonen er fullført, må du kontrollere at RDP-porter er ikke aktivert med mindre det er påkrevd for et forretningsmessig formål.
  • Aktiver Microsoft automatiske Oppdateringer for å sikre at de nyeste versjonene av både klient og server software kjører.

MS-ISAC er det sentrale punktet for cyber-trusselen forebygging, beskyttelse, respons, og recovery for landets statlige, lokale, tribal, og territorielle (SLTT) regjeringer. Mer informasjon om dette emnet, så vel som 24×7 cybersecurity assistanse er tilgjengelig på 866-787-4722, [email protected]., MS-ISAC er interessert i dine kommentarer – en anonym tilbakemelding undersøkelsen er tilgjengelig.


Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *