保护远程桌面服务器

互联网犯罪投诉中心(IC3)与美国国土安全部和FBI合作,发布了有关通过Windows远程桌面协议进行攻击的安全警报。虽然对RDP最公开的攻击与勒索软件有关,但攻击者还侵入暴露的RDP服务以进行企业盗窃,安装后门或作为其他攻击的发射点。

“远程管理工具,例如远程桌面协议(RDP),作为一种攻击媒介,自2016年年中中期以来一直在上升,随着黑市的出现,销售RDP Access,” 美国证书警告称。“恶意网络参与者已经开发出通过互联网识别和利用易受攻击的RDP会话以破坏身份,窃取登录凭据和勒索其他敏感信息的方法。联邦调查局(FBI)和国土安全部(DHS)推荐企业和私人公民审查并了解他们的网络允许的远程访问,并采取措施降低妥协的可能性,其中可能包括在不需要时禁用RDP。“

如果您是BleepingComputer的读者,那么您已经知道攻击者正在使用远程桌面服务来远程访问网络和计算机。

去年,我们介绍了xDedic犯罪市场如何以每台服务器6美元的价格销售被黑客入侵的远程桌面服务帐户。在犯罪市场上出售RDP账户至今仍在继续。

互联网连接设备的搜索引擎Shodan.io也表明,有超过200万台计算机运行远程桌面并直接连接到互联网。这些服务器只是等待被黑客入侵。

我们还经常介绍如何通过互联网攻击面向公众的远程桌面服务器,如CrySiS / DharmaSamSamBitPaymerCryptON勒索软件感染感染整个网络。

因为这些攻击的目标是整个网络,而不是单个计算机,并且带有3,000美元到5,000美元的价格标签来解密一台计算机或者高达50,000美元来解密整个网络,所以它们往往被高度宣传。

例如,在勒索软件攻击美国的PGA圣地亚哥港亚特兰大,以及众多医院 都最有可能通过远程桌面服务器正在互联网上暴露的执行。

因此,利用RDP的所有组织正确保护这些服务非常重要。

保护远程桌面服务器

使用远程桌面服务可以成为公司不可或缺的资源,因此我们并不是说不应该使用它。我们所说的是,如果你使用RDP,你需要保护它!

下面我们概述了应该执行的各种步骤,以保护远程桌面服务器免受攻击。

切勿将RDP服务器直接暴露给Internet

RDP服务器永远不应该直接连接到Internet。相反,组织应将RDP服务器置于VPN或防火墙之后,以便只允许用户访问它们。

这样做也会使查找服务器和发起暴力攻击变得更加困难,攻击者在尝试猜测密码时反复登录到服务器。

如果可以,还应将RDP的TCP端口从默认端口3389更改为非标准端口。这只是为保护方法的混合添加了一点安全隐患。

使用强密码和多重身份验证

由于远程桌面攻击通常由攻击者强制执行密码直到他们猜对了,因此所有用户都必须拥有强大而复杂的密码。这可以使用Windows中的强密码策略强制执行。

为了进一步增强保护,组织还应考虑向域登录添加多因素身份验证

启用帐户锁定策略

通常可以通过使用帐户锁定策略来防止暴力攻击。这些策略暂时使其成为一个帐户在进行一定数量的失败登录尝试后无法登录。

由于暴力攻击依赖于反复尝试使用不同密码登录帐户,因此使用锁定策略会阻止此操作。

启用帐户登录审核

通过启用帐户审核策略,管理员可以深入了解哪些帐户重复登录尝试失败。这使管理员可以查明可能针对攻击的帐户。

安装安全更新

最后,尤其是重要性,更新,更新,更新。我知道有些公司很快就会安装安全更新,但是应该尽快安装。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/ic3-issues-alert-regarding-remote-desktop-protocol-rdp-attacks/

扫码关注云+社区

领取腾讯云代金券