مراقب بهره برداری RDP جدید باشید

RDP می تواند یک چالش برای پیاده سازی باشد – در اینجا چند مرحله وجود دارد که می توانید برای ایمن سازی استفاده از آن بردارید

پروتکل دسکتاپ از راه دور (RDP) که اغلب مورد سوء استفاده قرار می گیرد، بار دیگر در اخبار منتشر شده است. این بار، یک بردار حمله جدید دارد که توسط محققان و متعاقبا اوایل این ماه توسط مایکروسافت وصله شد. با توجه به اینکه تمام نسخه های ویندوز در 10 سال گذشته – هم برای دسکتاپ و هم برای سرور – نیاز به وصله دارند، باید آن را در لیست اولویت خود قرار دهید، به خصوص که این مشکل جدید به راحتی قابل سوء استفاده است.

RDP عملکرد ارزشمندی دارد. در اتصال امروزی اغلب به عنوان راهی برای دسترسی از راه دور استفاده می شود تا کاربران نیازی به نشستن فیزیکی در مقابل رایانه یا سرور خود نداشته باشند. با این حال، این ابزار یک گذشته تاریک را به پروتکل آورده و RDP را به یک حفره امنیتی تبدیل کرده است. یکی از بدنام‌ترین حملات BlueKeep نام داشت که وقتی در سال 2019 اتفاق افتاد به آن پرداختیم. این یک آسیب‌پذیری کامل اجرا از راه دور بود که هشدارهایی را از سوی آژانس امنیت ملی ایالات متحده برای اصلاح سریع ایجاد کرد.

به عنوان یک یادداشت جانبی، پاسخ به BlueKeep شامل کمک مارکوس هاچینز بود که راهی برای متوقف کردن شیوع WannaCry پیدا کرد، ما همچنین در سال 2017 نوشتیم که RDP چگونه است. از روش‌های رایج‌تر که می‌توان حملات باج‌افزار را راه‌اندازی کرد و همچنین می‌توان از آن برای شروع حملات انکار سرویس استفاده کرد.

در جدیدترین تجسم سوء استفاده‌های RDP، هکرها می‌توانند با استفاده از یک مرد به فایل‌های داده دسترسی پیدا کنند. -حمله در وسط یک ویژگی ویندوز به نام Named Pipes. این یکی از ویژگی‌های ویندوز است که بیش از 30 سال پیش برای ایجاد ارتباط برنامه به برنامه ایجاد شد که می‌تواند فرآیندها را در همان رایانه یا از طریق یک شبکه به هم متصل کند. هیچ ویژگی امنیتی ذاتی ندارد (مانند نسخه های امن سیستم نام دامنه یا پروتکل های ایمیل). در واقع، ممکن است بگویید که دارای ناامنی‌های ذاتی است، از جمله:

  • یک پورت معروف TCP/IP (3389): ردیابی آسان توسط هکرها.
  • اعتبار ضعیف ورود به سیستم: اگر کاربران لاگین ویندوز ضعیفی دارند. ، هکرها می توانند از پر کردن اعتبار یا حملات brute force برای به خطر انداختن این رمز عبور استفاده کنند. به سیستم های شما آنها می‌توانند هنگام اتصال به دروازه راه دور، منوهای «نمایش گزینه‌ها» یا «راهنما» را به نمایش بگذارند، که هر دو می‌توانند امکان مرور فهرست فایل‌ها را فراهم کنند، یا فهرست‌های بلوک اجرای فایل را دور بزنند. در اینجا چند مرحله وجود دارد که می توانید برای ایمن سازی استفاده از آن بردارید:

    1. RDP را در صورت عدم نیاز غیرفعال کنید. همانطور که توسط مایکروسافت پیشنهاد شده است، هنگامی که همه چیز را اصلاح می کنید، باید این را امتحان کنید.

    2. از رمزهای عبور بهتر مخصوصاً در تجهیزات ویندوز محلی خود استفاده کنید. از مدیران رمز عبور و ابزارهای تک علامت استفاده کنید. این توصیه را قبلا شنیده اید، بدون شک، اما همچنان کلیدی است!

    3. پورت 3389 را از طریق فایروال شبکه خود یا سایر ابزارهای امنیتی قفل کنید. این می تواند مشکل باشد، زیرا بسیاری از کاربران ممکن است به دسترسی از راه دور نیاز داشته باشند و تمام چیزی که برای انجام یک سوء استفاده RDP نیاز است، به خطر انداختن یک دسکتاپ واحد است.

    4. روی آنتی ویروس بهتر سرمایه گذاری کنید . Remote Access Shield یکی از ویژگی های موجود در Avast Premium Security است که می تواند اکسپلویت های RDP را مسدود کند.

    5. خط‌مشی‌های گروهی Active Directory مؤثرتر ایجاد کنید که برنامه‌های کاربردی خاص و گزینه‌های راه‌دور راه دور را مسدود کرده و اجازه می‌دهد از راه دور اجرا شوند. همچنین، مطمئن شوید که چه کسانی دارای امتیازات اداری هستند تا اطمینان حاصل کنید که حداقل تعداد مطلق افراد دسترسی دارند.