Security Primer-Remote Desktop Protocol (Svenska)
översikt
Remote Desktop Protocol (RDP) är en Microsoft proprietär protokoll som möjliggör fjärranslutningar till andra datorer, vanligtvis över TCP-port 3389. Det ger nätverksåtkomst för en fjärranvändare över en krypterad kanal. Nätverksadministratörer använder RDP för att diagnostisera problem, logga in på servrar och utföra andra fjärråtgärder. Fjärranvändare använder RDP för att logga in i organisationens nätverk för att komma åt e-post och filer.
cyber threat actors (CTAs) använder felaktigt konfigurerade RDP-portar som är öppna för Internet för att få nätverksåtkomst., De är sedan i stånd att potentiellt flytta i sidled i ett nätverk, eskalera privilegier, åtkomst och exfiltrate känslig information, harvest referenser, eller distribuera ett brett utbud av skadlig kod. Denna populära attackvektor gör det möjligt för CTAs att behålla en låg profil eftersom de använder en legitim nätverkstjänst och ger dem samma funktionalitet som alla andra fjärranvändare. CTAs använder verktyg, såsom Shodan sökmotor, för att skanna Internet för öppna RDP-portar och sedan använda brute force lösenord tekniker för att komma åt sårbara nätverk., Kompromissade RDP referenser är också allmänt tillgängliga för försäljning på mörka webbmarknader.
i 2018 observerade Multi-State Information Sharing And Analysis Center (MS-ISAC) en ökning av ransomware-varianter som strategiskt riktar sig till nätverk genom oprioriterade RDP-portar eller genom att brute tvingar lösenordet. Ransomware distribueras sedan manuellt över hela det kompromissade nätverket och är förknippat med högre lösenkrav.,
rekommendationer:
- bedöma behovet av att ha RDP, port 3389, öppna på system och, om så krävs:
- placera ett system med en öppen RDP-port bakom en brandvägg och kräva att användare VPN in genom brandväggen;
- aktivera starka lösenord, multifaktorsautentisering och kontolåsningspolicyer för att försvara sig mot brute-force-attacker;
- vitlista anslutningar till specifika betrodda värdar;
- begränsa RDP loggar in på auktoriserade icke-administratörskonton, om möjligt., Följ principen om minst privilegium, se till att användarna har den lägsta åtkomstnivå som krävs för att utföra sina uppgifter; och
- logga och granska RDP inloggningsförsök för avvikande aktivitet och behålla dessa loggar i minst 90 dagar. Se till att endast auktoriserade användare har åtkomst till den här tjänsten.
- Om RDP inte krävs, utför regelbundna kontroller för att säkerställa att RDP-portar är säkrade.
- verifiera molnmiljöer följa bästa praxis, enligt definitionen av molntjänstleverantören., När installationen av molnmiljö är klar, se till att RDP-portar inte är aktiverade om det inte krävs för ett affärssyfte.
- aktivera automatiska Microsoft-uppdateringar för att säkerställa att de senaste versionerna av både klient-och serverprogramvaran körs.
MS-ISAC är kontaktpunkten för förebyggande av cyberhot, skydd, respons och återhämtning för landets statliga, lokala, stam-och territoriella (SLTT) regeringar. Mer information om detta ämne, samt 24×7 cybersecurity assistance finns på 866-787-4722, [email protected]. – herr talman!, MS-ISAC är intresserad av dina kommentarer – en anonym feedbackundersökning finns tillgänglig.