Über die Feiertage haben wir Daten für das Remote-Desktop-Protokoll (RDP) und Virtual Network Computing (VNC) zu Censys hinzugefügt. Jetzt können Sie nach allen RDP- oder VNC-Clients suchen, die online und an Ihr Unternehmen gebunden sind, und sicherstellen, dass sie entsprechend gesperrt sind. Diese Remote-Desktop-Instanzen sind im Grunde die Eingangstür zu Ihrem Unternehmen, und es ist wichtig, dass sie starke Benutzeranmeldeinformationen und Authentifizierungsmaßnahmen erfordern, um sie vor unbefugtem Benutzerzugriff zu schützen.
Es gibt eine ganze Reihe bekannter Angriffe, bei denen böswillige Akteure RDP nutzen, um sich Zugang zu verschaffen. Meistens geschieht dies entweder durch das Auffinden und Verwenden von Anmeldedaten und die Ausweitung ihres Zugangs auf das gesamte Unternehmen oder durch die Entführung einer Sitzung mit einem hoch privilegierten Konto. Mitre.org hat eine gute Liste mit einigen dieser bekannten Angriffe zusammengestellt und gibt einige Tipps zur Schadensbegrenzung. Unsere grundlegenden RDP- und VNC-Schutztechniken finden Sie am Ende dieses Artikels.
Suche auf Censys nach RDP- und VNC-Servern
Suchen Sie also auf Censys nach allen Ihren RDP- und VNC-Servern und stellen Sie sicher, dass Sie kein leichtes Ziel für Angreifer sind. Auf Censys ist RDP an Port 3389 und VNC an den Ports 5900-5903 zu finden.
Der nächste Schritt besteht darin, jeden dieser Server zu überprüfen und sicherzustellen, dass Sie die bewährten Verfahren für RDP- und VNC-Server einhalten. Wenn Sie etwas finden, das weit offen und ungenutzt oder unsicher ist, sichern Sie es entweder sofort oder nehmen Sie es offline, um unbefugten Zugriff zu verhindern.
Zu den bewährten Verfahren zur Sicherung von RDP- und VNC-Servern gehören:
- Verlangt eine starke Authentifizierung auf dem Server (Benutzername und eindeutiges, starkes Passwort plus Zwei-Faktor-Authentifizierung)
- Beschränken Sie den Zugriff auf VNC- und RDP-Server auf Ihr VPN
- Minimieren Sie die Anzahl der Personen mit administrativem Zugriff
- Durchsetzung von Sperrrichtlinien nach erfolglosen Anmeldeversuchen
- Verwenden Sie die Authentifizierung auf Netzwerkebene, falls verfügbar (nur RDP)
- Nutzen Sie die Vorteile von RDP-Gateways, um die Anzahl der über das Internet zugänglichen Zugangspunkte zu reduzieren.
- Einsatz von Firewalls zum Blockieren von Regionen oder Nutzern, die bestimmte "riskante" Kriterien erfüllen
- Stellen Sie wie immer sicher, dass Ihre RDP- und VNC-Server- und Client-Software gepatcht und aktuell ist.
Wenn Sie auf der Suche nach weiteren Tipps wie diesen sind, sollten Sie unseren Blog im Auge behalten und unseren Twitter-Feed @censysio abonnieren.
