victory_hi
Búa Gỗ
RDP chính là viết tắt của thuật ngữ Remote Desktop Protocol một giao thức độc quyền được phát triển bởi Microsoft, cung cấp cho người dùng giao diện đồ họa để kết nối với một máy tính khác qua kết nối mạng. Hay hiểu theo cách đơn giản Remote Desktop cho phép bạn quản lý và truy cập vào các máy tính khác từ xa thông qua mạng internet.
các helpdesk chúng ta lại quên mất một mối họa tiềm ẩn phát xuất từ sự yếu kém và lỏng lẻo trong việc bảo vệ một giao thức rất phổ biến đó là RDP. Hệ quả là ransomware đã có 1 cơ hội tuyệt vời để tiếm quyền quản trị, lây nhiễm hang loạt các máy tính khác. Nghe có vẻ nực cười nhưng các bạn có biết khi ransomware tiếm quyền được 1 máy tính, nó sẽ KHÔNG KÍCH HOẠT ngay mà nó sẽ nằm chờ thời cơ và nghe ngóng tất cả các input của user và đặc biệt là anh chàng helpdesk log bằng tài khoản domain có quyền cao hơn user thường. Giai đoạn này gọi là Payload. Mục đích của ransomware là chiếm đoạt tài khoản quản trị để thả các đoạn mã và kích hoạt nó lên các máy tính trong cùng mạng LAN.
Các bạn có nhận thấy từ khi có phong trào WFH, ransomware đã tăng đáng kể không?
Quay lại RDP. Thật không may, RDP là công cụ rất phổ biến để helpdesk nhà mình remote vào server nhưng hãy tự hỏi các bạn đã làm điều này chưa nhé.
1. Sử dụng mật mã bao gồm chữ, số, ký tự đặc biệt, viết Hoa và viết thường, dài hơn 8 ký tự?
2. Bạn có dùng MFA cho RDP chưa? (con nhà giàu
)
3. Bạn có bật tính năng NLA cho RDP chưa (Hầu hết helpdesk nhà mình bỏ qua vì rối rắm quá)
4. Bạn có giới hạn RDP cho những helpdesk có thẩm quyền chưa? (Trong GPEdit.msc, mục Allow logon…)
5. Bạn có đổi port 3389 thành port khác chưa? Càng khác càng tốt.
6. Bạn có bật firewall mode on ở profile Domain chưa? (Hầu hết helpdesk nhà mình tắt luôn hoặc để 3rd AV làm)
Mode firewall này là advance mode nhé các bạn, ở mode advance, mình mới set được connection security rule (CSR).
Mình không đề cập profile Public và Private vì nó không nằm trong phạm vi thảo luận.
7. Bạn có dung IPSec cho RDP chưa? Thật ra thì cái này không cần thiết lắm. Nếu bạn hiểu biết rõ về IPSec thì có thể làm được. MCSA có dạy bài này, Viễn nhớ 15 năm trước, Viễn đã làm lab trên 2003 rồi dùng Pre-shared key
8. Bạn có Public dịch vụ RDP ra ngoài Internet chưa? CHẮC CHẮN là helpdesk nhà mình làm hoài luôn! Đã vậy còn không thèm đổi port 3389 nữa. Đây chính là nguyên nhân mà ransomware đã bruteforce 24/7 đến khi tìm được password của helpdesk (ví dụ pass là toimongchoyem J)
9. Nếu phải public RDP ra ngoài Internet, các bạn đã triển RDP Gateway chưa? Ở VN, RDP Gateway rất hiếm khi được nhắc đến vì hầu hết tính an toàn của nó bị…bỏ qua. Đáng tiếc!
10. Bạn có giới hạn RDP cho những workstation riêng mà IT sử dụng chưa? Những workstation khác sẽ không được remote desktop vào server? Hầu hết helpdesk nhà mình không hề làm việc này. Hãy nghĩ đến điều này, giả sử ransomware bắt được tài khoản của helpdesk trên máy của user nhưng họ cũng không thể remote vào server để thả độc nhưng nếu họ vào được thì A4.exe
Nguồn Vien Huynh
các helpdesk chúng ta lại quên mất một mối họa tiềm ẩn phát xuất từ sự yếu kém và lỏng lẻo trong việc bảo vệ một giao thức rất phổ biến đó là RDP. Hệ quả là ransomware đã có 1 cơ hội tuyệt vời để tiếm quyền quản trị, lây nhiễm hang loạt các máy tính khác. Nghe có vẻ nực cười nhưng các bạn có biết khi ransomware tiếm quyền được 1 máy tính, nó sẽ KHÔNG KÍCH HOẠT ngay mà nó sẽ nằm chờ thời cơ và nghe ngóng tất cả các input của user và đặc biệt là anh chàng helpdesk log bằng tài khoản domain có quyền cao hơn user thường. Giai đoạn này gọi là Payload. Mục đích của ransomware là chiếm đoạt tài khoản quản trị để thả các đoạn mã và kích hoạt nó lên các máy tính trong cùng mạng LAN.
Các bạn có nhận thấy từ khi có phong trào WFH, ransomware đã tăng đáng kể không?
Quay lại RDP. Thật không may, RDP là công cụ rất phổ biến để helpdesk nhà mình remote vào server nhưng hãy tự hỏi các bạn đã làm điều này chưa nhé.
1. Sử dụng mật mã bao gồm chữ, số, ký tự đặc biệt, viết Hoa và viết thường, dài hơn 8 ký tự?
2. Bạn có dùng MFA cho RDP chưa? (con nhà giàu
3. Bạn có bật tính năng NLA cho RDP chưa (Hầu hết helpdesk nhà mình bỏ qua vì rối rắm quá)
4. Bạn có giới hạn RDP cho những helpdesk có thẩm quyền chưa? (Trong GPEdit.msc, mục Allow logon…)
5. Bạn có đổi port 3389 thành port khác chưa? Càng khác càng tốt.
6. Bạn có bật firewall mode on ở profile Domain chưa? (Hầu hết helpdesk nhà mình tắt luôn hoặc để 3rd AV làm)
Mode firewall này là advance mode nhé các bạn, ở mode advance, mình mới set được connection security rule (CSR).
Mình không đề cập profile Public và Private vì nó không nằm trong phạm vi thảo luận.
7. Bạn có dung IPSec cho RDP chưa? Thật ra thì cái này không cần thiết lắm. Nếu bạn hiểu biết rõ về IPSec thì có thể làm được. MCSA có dạy bài này, Viễn nhớ 15 năm trước, Viễn đã làm lab trên 2003 rồi dùng Pre-shared key
8. Bạn có Public dịch vụ RDP ra ngoài Internet chưa? CHẮC CHẮN là helpdesk nhà mình làm hoài luôn! Đã vậy còn không thèm đổi port 3389 nữa. Đây chính là nguyên nhân mà ransomware đã bruteforce 24/7 đến khi tìm được password của helpdesk (ví dụ pass là toimongchoyem J)
9. Nếu phải public RDP ra ngoài Internet, các bạn đã triển RDP Gateway chưa? Ở VN, RDP Gateway rất hiếm khi được nhắc đến vì hầu hết tính an toàn của nó bị…bỏ qua. Đáng tiếc!
10. Bạn có giới hạn RDP cho những workstation riêng mà IT sử dụng chưa? Những workstation khác sẽ không được remote desktop vào server? Hầu hết helpdesk nhà mình không hề làm việc này. Hãy nghĩ đến điều này, giả sử ransomware bắt được tài khoản của helpdesk trên máy của user nhưng họ cũng không thể remote vào server để thả độc nhưng nếu họ vào được thì A4.exe
Nguồn Vien Huynh
