Риски безопасности RDP

Что такое РДП?

RDP, или протокол удаленного рабочего стола, является одним из основных протоколов, используемых для сеансов удаленного рабочего стола. Это когда сотрудники получают доступ к своему офисному рабочему столу с другого устройства. RDP включен в большинство операционных систем Windows, а также может использоваться с компьютерами Mac. Многие компании полагаются на RDP, чтобы позволить своим сотрудникам работать из дома.

RDP (протокол удаленного рабочего стола) — один из основных протоколов, используемых для сеансов удаленного рабочего стола.

Каковы основные уязвимости безопасности RDP?

Уязвимости — это ошибки в построении программного обеспечения, позволяющие злоумышленникам получить несанкционированный доступ. Думайте об этом как о неправильно установленном засове на входной двери дома, позволяющем преступникам проникнуть внутрь.

Вот наиболее важные уязвимости в RDP:

1. Слабые учетные данные пользователя

Большинство настольных компьютеров защищены паролем, и пользователи обычно могут установить его по своему усмотрению. Проблема в том, что пользователи часто используют один и тот же пароль для удаленного входа в систему по RDP. Компании обычно не управляют этими паролями, чтобы гарантировать их надежность, и они часто оставляют эти удаленные соединения открытыми для атак грубой силы или подстановки учетных данных .

• Краткое описание того, как создавать надежные пароли и наиболее безопасно управлять ими

2. Неограниченный доступ к порту

RDP-соединения почти всегда выполняются через порт 3389*. Злоумышленники могут предположить, что этот порт используется, и использовать его для проведения атак.

* В сети шлюз — это логическое программное местоположение, которое назначается определенным типам соединений. Назначение разных процессов разным портам помогает компьютеру отслеживать эти процессы. Например, HTTP-трафик всегда идет на порт 80, а HTTPS- трафик — на порт 443.

Каковы способы устранения этих уязвимостей RDP?

• Чтобы уменьшить распространенность слабых учетных данных:

Единый вход (SSO)

Многие компании используют службы единого входа для управления данными входа пользователей в различные приложения. Система единого входа предоставляет компаниям более простой способ обеспечить использование надежных паролей, а также реализовать более безопасные меры, такие как двухфакторная аутентификация (2FA) . Удаленный доступ по протоколу RDP можно перенести за процесс единого входа, чтобы устранить описанную выше уязвимость при входе в систему пользователя.

Управление паролями и обеспечение их соблюдения

Для некоторых компаний перенос удаленного доступа RDP за процесс SSO может оказаться невозможным. Как минимум, эти компании должны потребовать от сотрудников сбросить пароли своих рабочих столов на более надежные.

• Для защиты от атак на основе портов:

Блокировка порта 3389

Программное обеспечение безопасного туннелирования может помочь предотвратить отправку злоумышленниками запросов на порт 3389. При безопасном туннелировании любые запросы, не проходящие через туннель, будут заблокированы.

Правила брандмауэра

Корпоративный межсетевой экран можно настроить вручную так, чтобы через порт 3389 не мог проходить трафик, за исключением трафика из разрешенных диапазонов IP-адресов (например, устройств, о которых известно, что они принадлежат сотруднику).

Однако этот метод требует большого количества усилий вручную и по-прежнему уязвим, если злоумышленники захватят авторизованные IP-адреса или устройства сотрудников будут скомпрометированы. Кроме того, часто бывает сложно заранее идентифицировать и включить все устройства сотрудников, что приводит к постоянным запросам ИТ-специалистов от заблокированных сотрудников.

RDP также имеет ряд других уязвимостей, большинство из которых можно устранить, всегда используя последнюю версию протокола.

Какие еще уязвимости есть у RDP?

В RDP есть и другие технические уязвимости, которые технически исправлены, но остаются серьезными, если их не устранить.

Одна из самых серьезных уязвимостей в RDP называется «BlueKeep». BlueKeep (официально классифицирован как CVE-2019-0708) — это уязвимость, которая позволяет злоумышленникам выполнить любой код на компьютере, если они отправят специально созданный запрос на правильный порт (обычно это 3389). BlueKeep является вирусом-червем , то есть он может распространиться на все компьютеры в сети без каких-либо действий со стороны пользователя.

Лучшая защита от этой уязвимости — отключить RDP, если в этом нет необходимости. Также может помочь блокировка порта 3389 с помощью брандмауэра. Наконец, в 2019 году Microsoft выпустила патч, исправляющий эту уязвимость, и системным администраторам необходимо установить этот патч.

Как и любая другая программа или протокол, RDP также имеет некоторые другие уязвимости, и большинство из этих уязвимостей можно устранить, всегда используя последнюю версию протокола. Поставщики часто исправляют уязвимости в каждой новой версии программного обеспечения, которую они выпускают.