Security Primer-Remote Desktop Protocol (Português)
Overview
Remote Desktop Protocol (RDP) é um protocolo proprietário da Microsoft que permite conexões remotas a outros computadores, tipicamente sobre a porta TCP 3389. Ele fornece acesso à rede para um usuário remoto através de um canal criptografado. Os administradores de rede usam RDP para diagnosticar problemas, fazer login em servidores e realizar outras ações remotas. Usuários remotos usam RDP para entrar na rede da organização para acessar e-mails e arquivos.
actores da ameaça cibernética (CTAs) utilizam portos RDP mal configurados que estão abertos à Internet para obter acesso à rede., Eles estão, então, em posição de potencialmente mover-se lateralmente através de uma rede, aumentar os privilégios, acessar e exfiltrar informações sensíveis, obter credenciais, ou implantar uma grande variedade de malware. Este vetor de ataque popular permite ao CTAs manter um perfil baixo, uma vez que eles estão utilizando um serviço de rede legítimo e fornece-lhes a mesma funcionalidade que qualquer outro usuário remoto. CTAs usam ferramentas, como o motor de busca Shodan, para escanear a Internet para portas abertas RDP e, em seguida, usar técnicas de senha de Força bruta para acessar redes vulneráveis., Credenciais RDP comprometidas também estão amplamente disponíveis para venda em mercados web escuros.
em 2018, O Multi-State Information Sharing And Analysis Center (MS-ISAC) observou um aumento nas variantes de ransomware que estrategicamente visam redes através de portas RDP não seguras ou por bruto forçando a senha. O ransomware é então implantado manualmente em toda a rede comprometida e está associado com exigências de resgate mais elevadas.,
Recomendações:
- Avaliar a necessidade de se ter RDP, a porta 3389, aberto nos sistemas e, se for necessário:
- lugar qualquer sistema com um porta RDP atrás de um firewall e exigir que os usuários de VPN através de firewall;
- activar palavras-passe seguras, a autenticação de vários fatores, e políticas de bloqueio de conta para se defender contra ataques de força bruta;
- lista de permissões de ligações específicas de hosts confiáveis;
- restringir RDP logins autorizados contas de não-administrador, sempre que possível., Aderir ao princípio do menor privilégio, garantindo que os usuários tenham o nível mínimo de acesso necessário para cumprir suas funções; e
- log e rever as tentativas de login do RDP para a atividade anômala e manter esses registros por um mínimo de 90 dias. Certifique-se de que apenas usuários autorizados estão acessando este serviço.se o RDP não for necessário, efectuar controlos regulares para garantir que os portos do RDP estão seguros.
- verifique se os ambientes de nuvem aderem às melhores práticas, conforme definido pelo Provedor de serviços de nuvem., Após a configuração do ambiente de nuvem estar completa, certifique-se de que as portas RDP não estão ativadas, a menos que seja necessário para uma finalidade de Negócio.
- Ativar atualizações automáticas da Microsoft para garantir que as versões mais recentes do software cliente e servidor estão em execução.
o MS-ISAC é o ponto focal para a prevenção, proteção, resposta e recuperação de ameaças cibernéticas para os governos estaduais, locais, tribais e territoriais (SLTT) da nação. Mais informações sobre este tópico, bem como assistência 24×7 de segurança cibernética está disponível em 866-787-4722, [email protected]., O MS-ISAC está interessado em seus comentários – um inquérito de feedback anônimo está disponível.