Security Primer-Remote Desktop Protocol (Română)

februarie 21, 2021 admin 0 Comments

Prezentare generală

Remote Desktop Protocol (RDP) este un protocol de proprietate Microsoft care permite conexiuni la distanță la alte computere, de obicei prin portul TCP 3389. Oferă acces la rețea pentru un utilizator la distanță pe un canal criptat. Administratorii de rețea utilizează RDP pentru a diagnostica problemele, pentru a vă conecta la servere și pentru a efectua alte acțiuni la distanță. Utilizatorii de la distanță folosesc RDP pentru a vă conecta la rețeaua organizației pentru a accesa e-mailurile și fișierele.actorii amenințărilor cibernetice (CTA) folosesc porturi RDP configurate greșit care sunt deschise Internetului pentru a obține acces la rețea., Ei sunt apoi în măsură să se deplaseze lateral într-o rețea, să sporească privilegiile, să acceseze și să exfiltreze informații sensibile, să recolteze acreditări sau să implementeze o mare varietate de programe malware. Acest vector de atac popular permite CTA-urilor să mențină un profil scăzut, deoarece utilizează un serviciu de rețea legitim și le oferă aceeași funcționalitate ca orice alt utilizator de la distanță. CTA-urile folosesc instrumente, cum ar fi motorul de căutare Shodan, pentru a scana internetul pentru porturi RDP deschise și apoi folosesc tehnici de parolă brute force pentru a accesa rețele vulnerabile., Acreditările RDP compromise sunt, de asemenea, disponibile pe scară largă pentru vânzare pe piețele web întunecate.

în 2018, Centrul de partajare și analiză a informațiilor cu mai multe State (MS-ISAC) a observat o creștere a variantelor de ransomware care vizează strategic rețelele prin porturi RDP nesecurizate sau prin forțarea brută a parolei. Ransomware-ul este apoi implementat manual în întreaga rețea compromisă și este asociat cu cereri mai mari de răscumpărare.,

Recomandari:

  • Evaluarea trebuie să aibă RDP, portul 3389, deschide pe sistemele și, dacă este necesar:
    • loc orice sistem deschis cu un RDP port în spatele unui firewall și necesită utilizatorilor să VPN prin firewall;
    • permite parole puternice, multi-factor de autentificare, și de blocare de cont politici pentru a-și apăra împotriva brute-force atacuri;
    • lista albă conexiuni specifice de încredere gazde;
    • restricționa RDP de conectare a autorizat non-conturi de administrator, în cazul în care este posibil., Respectați principiul celui mai mic privilegiu, asigurându-vă că utilizatorii au nivelul minim de acces necesar pentru a-și îndeplini sarcinile; și
    • log și revizuiește încercările de conectare RDP pentru o activitate anormală și păstrează aceste jurnale timp de minimum 90 de zile. Asigurați-vă că numai utilizatorii autorizați accesează acest serviciu.
  • dacă RDP nu este necesar, efectuați verificări periodice pentru a vă asigura că porturile RDP sunt securizate.
  • Verificați că mediile cloud respectă cele mai bune practici, așa cum sunt definite de furnizorul de servicii cloud., După finalizarea configurării mediului cloud, asigurați-vă că porturile RDP nu sunt activate decât dacă este necesar pentru un scop de afaceri.
  • activați actualizările automate Microsoft pentru a vă asigura că rulează cele mai recente versiuni ale software-ului client și server.

MS-ISAC este punctul focal pentru prevenirea, protecția, răspunsul și recuperarea amenințărilor cibernetice pentru guvernele naționale de stat, locale, tribale și teritoriale (SLTT). Mai multe informații despre acest subiect, precum și asistență 24×7 cybersecurity este disponibil la 866-787-4722, [email protected]., MS-ISAC este interesat de comentariile dvs. – este disponibil un sondaj de feedback anonim.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *