Systemy RDS i TSE od dawna są ulubionymi celami hakerów, ponieważ mają dostęp do cennych informacji i są stosunkowo łatwe do wykorzystania. Udany atak może prowadzić do różnych katastrofalnych konsekwencji, w tym strat finansowych, uszkodzenia reputacji marki i utraty zaufania klientów. Większość organizacji nie odzyskuje się po poważnym naruszeniu bezpieczeństwa, co sprawia, że ochrona użytkowników i klientów przed zagrożeniami, które celują w aplikacje i systemy plików serwera RDS, jest absolutnie kluczowa.

Zdalne połączenia są łatwymi celami dla ataków cybernetycznych

Zdalny pulpit jest powszechną funkcją w systemach operacyjnych. Umożliwia użytkownikowi zalogowanie się do interaktywnej sesji z graficznym interfejsem użytkownika na zdalnym systemie. Microsoft odnosi się do swojej implementacji protokołu zdalnego pulpitu (RDP) jako Usługi Zdalnego Pulpitu (RDS). Byłoby dość rozsądne założyć, że większość ryzyk związanych z bezpieczeństwem wynika z uruchamiania a serwer RDS , a w przeszłości było kilka dość głośnych exploitów, na przykład podatność na ataki pass-the-hash lub MITM na niezaszyfrowanych połączeniach. Prawdopodobnie wszyscy nadal pamiętamy o wyłączaniu Zdalna Pomoc i usunięcie powiązanych wyjątków portów w zaporach jako jedna z pierwszych rzeczy, które zrobiliśmy po zainstalowaniu systemu Windows. Ale ryzyka związane z używaniem a klient RDP nie wydają się tak oczywiste. Przeciwnicy mogą łączyć się z zdalnym systemem za pomocą RDP/RDS, aby rozszerzyć dostęp, jeśli usługa jest włączona i pozwala na dostęp do kont z znanymi poświadczeniami. Przeciwnicy prawdopodobnie będą używać technik uzyskiwania poświadczeń, aby zdobyć poświadczenia do użycia z RDP. Mogą również używać RDP w połączeniu z techniką funkcji dostępności w celu utrzymania dostępu. Chociaż nie będziesz w stanie znaleźć dokumentacji na temat samopropagujących się exploitów (tj. wirusów, trojanów lub robaków) wykorzystujących Połączenia pulpitu zdalnego poprzez użycie zaktualizowanych klientów protokołu RDP, nadal istnieją pewne ryzyka związane z łączeniem się z serwerami RDP:

• Śledzenie aktywności użytkowników i rejestrowanie kluczy W istocie serwer RDP mógłby rejestrować wszystkie Twoje działania na nim, w tym strony internetowe, które przeglądasz, pliki, które pobrałeś, dokumenty, do których uzyskałeś dostęp i które zostały zmienione, hasła, które wprowadziłeś, aby uzyskać dostęp do usług zdalnych przez serwer RDP, zasadniczo śledzić całą Twoją sesję użytkownika.

• Infekcja klienta przez zdalnie hostowane pliki Jakiekolwiek pliki, które pobierzesz z serwera hostującego sesję RDP, mogą być zmienione lub zainfekowane złośliwym oprogramowaniem. Możesz fałszywie polegać na tych plikach, myśląc, że skoro pobrałeś je podczas swojej poprzedniej sesji RDP, nie zostały one zmienione ani zainfekowane w międzyczasie, podczas gdy przenosiłeś je do swojego klienta RDP i otwierałeś/uruchamiałeś/...

• Atak typu man-in-the-middle (MITM) Podobnie jak w przypadku śledzenia aktywności użytkownika, tym razem atakujący jest aktywny na serwerze RDP, z którym się łączysz, i podsłuchuje połączenie klienta RDP z serwerem RDP, połączenia serwera RDP z zdalnym LAN/WAN lub być może obu. Oprócz możliwości inspekcji zawartości wymienianych pakietów sieciowych, człowiek w środku może również zmieniać ich zawartość. Sesja RDP może być szyfrowana za pomocą TLS, co skutecznie zapobiega podsłuchiwaniu jej, ale niekoniecznie jest to prawdą wszędzie, gdzie łączysz się (zdalny LAN lub WAN) za pomocą serwera RDP.

• Ataki inżynierii społecznej Możesz stać się ofiarą ataku inżynierii społecznej, w którym napastnik zdobywa twoje zaufanie pod fałszywym pretekstem i oszukuje cię, abyś wprowadził adres serwera RDP, który uważasz za zaufany w swoim kliencie RDP podczas nawiązywania nowej sesji, ale wprowadzony przez ciebie adres jest w rzeczywistości wyborem napastnika. Napastnik mógłby hostować serwer RDP pod tym adresem w celu rejestrowania twoich danych logowania do innego, rzeczywistego serwera RDP, z którym zamierzałeś się połączyć.

Chroń swój serwer RDS przed wszelkimi złośliwymi osobami

Prawdopodobnie pominęliśmy wiele innych możliwości nadużywania zaufania użytkowników do serwera RDP, z którym nawiązują sesję, ale użytkownik i tak zakłada to zaufanie, nie dostrzegając potencjalnego niebezpieczeństwa w tym działaniu. Te cztery przykłady wektorów ataku powinny być wystarczające, aby wykazać, że istnieje wyraźna potrzeba korzystania z RDS-Knight aby zapobiec atakom typu brute force i chronić swoje serwery RDS. Rozwiązanie RDS-Knight Security składa się z solidnego i zintegrowanego zestawu funkcji zabezpieczeń, aby chronić przed tymi atakami na Remote Desktop. Jesteśmy jedyną firmą, która dostarcza kompleksowe rozwiązanie o udowodnionej wydajności i skuteczności zabezpieczeń, aby sprostać rosnącym wymaganiom hostowanych serwerów RDS.