Microsoft Uzak Masaüstü Protokolü bağlantılarınızı nasıl daha iyi koruyabilirsiniz?

Microsoft'un Uzak Masaüstü Protokolü, güvenlik hataları ve zayıflıkları nedeniyle üzülmüştür, bu da uzak bağlantılar için RDP kullanırken belirli önlemleri almanız gerektiği anlamına gelir.

Ofiste çalışan

Resim: Getty Images / iStockphoto

Koronavirüs dünyaya yayılırken, daha fazla insan evden sosyal mesafeyi tatbik etmenin bir yolu olarak çalışıyor. Ancak uzak çalışanların işlerini yeteneklerini en iyi şekilde yerine getirmeleri gerekmektedir. Bazen bu, önemli görevleri yerine getirmek için şirket içindeki bir iş istasyonuna veya sunucuya bağlanmak anlamına gelir. Ve bunun için, Windows bilgisayarları olan birçok kuruluş Microsoft'un Uzak Masaüstü Protokolü'ne (RDP) güveniyor. Gibi yerleşik araçları kullanma Uzak Masaüstü Bağlantısı, insanlar uzak makinelere erişebilir ve bu makinelerle çalışabilir.

RDP yıllar boyunca çeşitli güvenlik açıkları ve engellerden etkilenmiştir. En önemlisi, 2019 olarak bilinen bir güvenlik açığına neden oldu BlueKeep siber suçluların düzgün bir şekilde yamalı olmayan bir PC'yi uzaktan devralmasına izin verebilir. Ayrıca, bilgisayar korsanları uzak masaüstü erişimi olan hesapların kullanıcı kimlik bilgilerini elde etmek için sürekli olarak kaba kuvvet saldırıları kullanırlar. Başarılı olursa, o hesap için ayarlanan uzak iş istasyonlarına veya sunuculara erişebilirler. Bu nedenler ve daha fazlası için, kuruluşların Microsoft'un RDP'sini kullanırken kendilerini korumak için belirli güvenlik önlemleri almaları gerekir.

GÖRMEK: Evden çalışma: BT uzmanının uzaktan çalışma ve uzaktan çalışma rehberi (TechRepublic Premium)

Aşağıdaki Soru-Cevap bölümünde, Jerry Gamblinşirketinde asal güvenlik mühendisi Kenna Güvenlik, ve AN Ananth, yönetilen güvenlik hizmeti sağlayıcısında baş strateji sorumlusu Netsurion, RDP kullanan kuruluşlar için düşüncelerini ve tavsiyelerini sunun.

Kuruluşlar RDP ile hangi güvenlik açıklarını ve kusurlarını bilmelidir?

Gamblin: Tüm güvenlik açıkları gibi, riske dayalı bir yaklaşım benimsemek ve silahlı saldırıları bilinen RDP güvenlik açıklarına öncelik vermek önemlidir. CVE-2019-0708 (BlueKeep). Gibi silahlı sömürüler olmadan güvenlik açıklarını düzeltme CVE-2020-0660 normal yama kadansınızda güvende olursunuz.

Ananth: Server 2008/12 R2, 7, 8.1, 10 dahil olmak üzere Windows sürümlerinde uygulandığı şekliyle RDP, CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, ve CVE-2019-1226. 2019 ortasından itibaren yaklaşık 800 milyon kullanıcı savunmasız kabul edildi. Bu güvenlik açıklarına yönelik istismarlar, 2018'den beri web suç pazarlarında satışa sunuldu.

Savunmasız olan eski sunucular genellikle daha yavaş bir döngüde yamalanır ve bu, bu tür güvenlik açıklarının ömrünü uzatır. Shodan.io gibi web tarayıcıları, saldırganların savunmasız halka açık makineleri hızla tanımasını kolaylaştırır. Dünya çapında, 500.000'den fazlası ABD'de bulunan iki milyondan fazla sistem RDP aracılığıyla internete maruz kalmaktadır.

Bilgisayar korsanları ve siber suçlular RDP hesapları ve bağlantılarından nasıl yararlanmaya çalışır?

Gamblin: Bir RDP güvenlik açığını bulmak ve kullanmak bir saldırı zincirinde finansal bir güdüye ya da işlemleri kesintiye uğratmak için dahili veri depolarına ve dizin hizmetlerine saldırmak için kullanılacak ilk adım olacaktır.

Ananth: Yaygın bir taktik, saldırganların bir vuruş umuduyla ortak kimlik bilgilerini kullanarak birçok giriş denemesini otomatikleştirdiği RDP kaba-zorlamadır. İkincisi, bir RDP sunucusunun kontrolünü ele geçirmek için bir yazılım güvenlik açığından yararlanmayı içerir. Örneğin, saldırganlar BlueKeep'i kullanabilir (CVE-2019-0708) yönetilen bir hizmet sağlayıcısının (MSP) toplu olmayan RDP sunucuları üzerinde tam denetim sahibi olmak için.

Yeni bir modül Trickbot özellikle RDP hesaplarını kaba zorlamaya çalışır. Sodinokibi ve GandCrab kötü amaçlı yazılım saldırıları RDP modüllerini içerir. Ryuk Ransomwareözellikle 1Ç 2020'de aktif olan RDP, ilk dayanak kazanıldıktan sonra yanal olarak yayılmak için kullanılıyor. RobinHood saldırısı Mayıs 2019'da Baltimore Şehrine karşı ve SamSam saldırısı Ağustos 2018'de Atlanta şehrine karşı RDP kaynaklı saldırılara örnektir.

Kuruluşlar, RDP hesaplarına ve bağlantılarına yönelik tehditlere karşı kendilerini daha iyi korumak için hangi güvenlik seçeneklerini uygulamaya koymalıdır?

Gamblin: Pek çok istisna olmadan, tüm RDP bulut sunucuları birden çok erişim düzeyi ve kimlik doğrulama denetimi gerektirir. Bu, bir RDP örneğine erişmek ve ikinci bir etken (ör. düet) kimlik doğrulaması için. Bazı büyük kuruluşlar RDP'yi doğrudan internete yerleştirir, ancak (umarım) çoğu bunu bilmeden yapıyor. Bunu kontrol etmek oldukça basit; İnternetteki en sevdiğiniz tarayıcıyı çalıştırın ve doğrudan maruz kalan tüm RDP örneklerine bakın.

Ananth: RDP'yi güvence altına alabilecek bazı yerleşik, ücretsiz savunmalar var. Bunlar:

  • yama: Sunucuları özellikle güncel tutun.
  • Karmaşık şifreler: Ayrıca iki faktörlü kimlik doğrulamayı kullanın ve kilitleme ilkeleri uygulayın.
  • Varsayılan bağlantı noktası: RDP tarafından kullanılan varsayılan bağlantı noktasını 3389'dan değiştir Kayıt Defteri aracılığıyla başka bir şeye.
  • Windows Güvenlik Duvarı: RDP oturumlarını IP adresine göre kısıtlamak için yerleşik Windows güvenlik duvarını kullanın.
  • Ağ Düzeyinde Kimlik Doğrulama (NLA): Eski sürümlerde varsayılan olmayan NLA'yı etkinleştirin.
  • RDP erişimini sınırlayın: Belirli bir kullanıcı grubuna RDP erişimini sınırlayın. Hiçbir alan adı yöneticisinin RDP'ye erişmesine izin verme.
  • Tünel RDP erişimi: Üzerinden tünel erişimi IPSec veya Güvenli Kabuk (SSH).

Ancak, tüm bu önleme ve sertleştirme adımlarını atmış olsanız bile, güvenlik garanti edilemez. RDP kullanımını izleyin. İlk kez görülen ve anormal davranışları arayın. Başarısız bir denemenin ardından başarılı bir girişim, başarılı kaba kuvvet parola tahmininin başarılı olduğunu gösterir. bir Güvenlik Bilgileri ve Etkinlik Yönetimi Etkili korelasyon özelliklerine sahip (SIEM) çözümü, bu tür girişimleri hızla saptayabilir.

Ayrıca bakınız

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*