Security Primer-Remote Desktop Protocol
overzicht
Remote Desktop Protocol (RDP) is een Microsoft-protocol dat externe verbindingen met andere computers mogelijk maakt, meestal via TCP-poort 3389. Het biedt netwerktoegang voor een externe gebruiker via een versleuteld kanaal. Netwerkbeheerders gebruiken RDP om problemen te diagnosticeren, in te loggen bij servers en andere externe acties uit te voeren. Externe gebruikers gebruiken RDP om in te loggen op het netwerk van de organisatie om toegang te krijgen tot e-mail en bestanden.
Cyber threat actors (CTA ‘ s) gebruiken verkeerd geconfigureerde RDP-poorten die open zijn voor het Internet om netwerktoegang te krijgen., Ze zijn dan in een positie om potentieel zijwaarts bewegen in een netwerk, escaleren privileges, toegang en exfiltrate gevoelige informatie, oogst referenties, of implementeren van een breed scala aan malware. Deze populaire aanval Vector laat CTA ‘ s om een laag profiel te handhaven, omdat ze gebruik maken van een legitieme netwerkservice en biedt hen met dezelfde functionaliteit als elke andere externe gebruiker. CTA ‘ s gebruiken tools, zoals de Shodan zoekmachine, om het Internet te scannen op open RDP-poorten en vervolgens brute force wachtwoordtechnieken te gebruiken om toegang te krijgen tot kwetsbare netwerken., Gecompromitteerde RDP referenties zijn ook op grote schaal beschikbaar voor verkoop op dark web marktplaatsen.
in 2018 zag het Multi-State Information Sharing and Analysis Center (MS-ISAC) een toename van ransomwarevarianten die strategisch gericht zijn op netwerken via onbeveiligde RDP-poorten of door brute forcering van het wachtwoord. De ransomware wordt vervolgens handmatig ingezet in het hele gecompromitteerde netwerk en wordt geassocieerd met hogere losgeld eisen.,
Tips:
- het Beoordelen van de noodzaak tot het hebben van RDP, poort 3389, open op systemen en, indien nodig:
- plaats een systeem met een open RDP-poort achter een firewall en gebruikers moeten een VPN via de firewall;
- inschakelen sterke wachtwoorden, multi-factor authenticatie, en accountvergrendelingsbeleid te verdedigen tegen brute-force-aanvallen;
- witte lijst met verbindingen naar specifieke vertrouwde hosts;
- beperken RDP aanmeldingen bij erkende niet-administrator-accounts, waar mogelijk., Zich te houden aan het principe van de minste Privilege, ervoor te zorgen dat gebruikers het minimumniveau van toegang hebben dat nodig is om hun taken te vervullen; en
- log en bekijk RDP-loginpogingen voor abnormale activiteit en bewaar deze logboeken voor een minimum van 90 dagen. Zorg ervoor dat alleen geautoriseerde gebruikers toegang hebben tot deze service.
- als RDP niet vereist is, moet u regelmatig controleren of RDP-poorten beveiligd zijn.
- Controleer of cloudomgevingen voldoen aan de best practices, zoals gedefinieerd door de cloudserviceprovider., Nadat de configuratie van de cloudomgeving is voltooid, moet u ervoor zorgen dat RDP-poorten niet zijn ingeschakeld, tenzij dit vereist is voor een zakelijk doel.
- Schakel automatische Microsoft-Updates in om ervoor te zorgen dat de nieuwste versies van zowel de client-als serversoftware worden uitgevoerd.
de MS-Isac is het brandpunt voor de preventie, bescherming, reactie en herstel van cyberdreigingen voor de nationale, lokale, tribale en territoriale overheden (SLTT). Meer informatie over dit onderwerp, evenals 24×7 cybersecurity bijstand is beschikbaar op 866-787-4722, [email protected]., De MS-ISAC is geïnteresseerd in uw opmerkingen – een anonieme feedback enquête is beschikbaar.