Pendant les vacances, nous avons ajouté des données sur le protocole de bureau à distance (RDP) et l'informatique en réseau virtuelle (VNC) à Censys. Vous pouvez désormais rechercher tous les clients RDP ou VNC qui sont en ligne et liés à votre organisation, et vous assurer qu'ils sont verrouillés de manière appropriée. Ces instances de bureau à distance sont en fait la porte d'entrée de votre organisation et il est essentiel qu'elles requièrent des informations d'identification et des mesures d'authentification solides pour les protéger contre tout accès non autorisé de la part des utilisateurs.
Il existe un certain nombre d'attaques connues dans lesquelles des acteurs malveillants utilisent RDP pour obtenir un accès, le plus souvent soit en trouvant et en utilisant des identifiants de connexion et en étendant leur accès à l'ensemble de l'organisation, soit en détournant la session d'un compte hautement privilégié. Mitre.org a dressé une bonne liste de certaines de ces attaques connues et fournit des conseils pour les atténuer. Nos techniques de protection RDP et VNC de base sont présentées au bas de cet article.
Recherche de serveurs RDP et VNC sur Censys
Faites donc une recherche sur Censys pour trouver tous vos serveurs RDP et VNC et assurez-vous que vous n'êtes pas une cible facile pour les attaquants. Dans Censys, RDP est le port 3389 et VNC est sur les ports 5900-5903.
L'étape suivante consiste à passer en revue chacun de ces serveurs et à s'assurer que vous respectez les meilleures pratiques en matière de serveurs RDP et VNC. Si vous trouvez un serveur grand ouvert, inutilisé ou non sécurisé, sécurisez-le immédiatement ou mettez-le hors ligne pour empêcher tout accès non autorisé.
Les meilleures pratiques pour sécuriser les serveurs RDP et VNC sont les suivantes :
- Exiger une authentification forte sur le serveur (nom d'utilisateur et mot de passe unique, fort et authentification à deux facteurs).
- Restreindre l'accès aux serveurs VNC et RDP à votre VPN
- Réduire le nombre de personnes ayant un accès administratif
- Appliquer des politiques de verrouillage après des tentatives de connexion infructueuses
- Utiliser l'authentification au niveau du réseau, si elle est disponible (RDP uniquement)
- Tirer parti des passerelles RDP pour réduire le nombre de points d'entrée accessibles par l'internet
- Utiliser des pare-feu pour bloquer les régions ou les utilisateurs qui répondent à certains critères "risqués".
- Comme toujours, assurez-vous que votre serveur RDP et VNC et les logiciels clients sont patchés et mis à jour.
Si vous êtes à la recherche d'autres conseils de ce type, surveillez notre blog et abonnez-vous à notre fil Twitter @censysio.
