Sikkerhetstiltak for Remote Desktop Protocol (RDP)


Remote Desktop Protocol (RDP) er en nettverksprotokoll for fjernpålogging på Windows-systemer. Mange virksomheter med Windows-baserte datasystemer bruker denne protokollen for å koble seg til og administrere datasystemene.

Mye brukt angrepsvektor

Enkelte trusselaktører går målrettet mot virksomheter av varierende størrelse. Metodikken deres innebærer å skaffe seg tilgang til virksomhetens datasystemer og nettverk, for så å plante løsepengevirus. Eksempler på dette er angrep mot byen Atlanta i Georgia, USA, og angrep på Norsk Hydro.

Tilgang til systemer via dårlig sikret RDP en mye brukt angrepsvektor i lignende tilfeller. Derfor er det viktig at virksomheter med Windows-baserte datasystemer sørger for at ikke hvem som helst kan koble seg til systemene via RDP.

Sikkerhetstiltak

Resten av denne veiledningen er litt teknisk, og egner seg derfor best for personell med litt IT-kompetanse.

RDP gateway

RDP gateway server er noe som kan settes opp på Windows Server 2008 og nyere versjoner. Med denne løsningen får man ett enkelt punkt å kontrollere, som alle RDP-tilkoblinger går gjennom. Dette gjør det langt enklere å implementere sikkerhetstiltak, og er også anbefalt om man må ha en tilkoblingsmulighet inn i nettverket utenfra.

Se Microsofts guide for oppsett av RDP gateway på Windows Server 2008 R2

Totrinnsbekreftelse

Det er alltid anbefalt å ta i bruk totrinnsbekreftelse der dette lar seg gjøre. Med dette ekstra sikkerhetstiltaket hindrer man at uvedkomne kan koble seg til datasystemene selv om brukernavn og passord skulle komme på avveier.

Kjært barn har mange navn, Microsoft refererer til dette sikkerhetstiltaket som multi-faktor-autentisering (MFA).

Se Microsofts guide for bruk av multi-faktor-autentisering for å sikre RDP-tilkobling

Sterke passord

Brukerkontoer med svake passord er et lett bytte for angripere. Det samme gjelder også passord som i utgangspunktet er sterke nok, dersom de blir gjenbrukt.

Se hvordan du lager sterke passord her

Begrens muligheten til å koble til utenfra

Ofte er det kun nødvendig for en virksomhet å bruke RDP internt i nettverket. I så fall er det en unødvendig sikkerhetsrisiko dersom det lar seg gjøre å koble til fra internett.

Mulighet for å koble seg til datasystemer med RDP burde som hovedregel være begrenset til tilkoblinger som kommer fra innsiden av nettverket, med mindre det er helt nødvendig å kunne koble seg til eksternt. Selv i tilfeller hvor det er helt nødvendig, anbefales det at man lar være å eksponere RDP-tilkoblingspunkter. Istedenfor kan brukerne benytte VPN for å få tilgang inn i nettverket.

Bruk brannmurregler og nettverkssegmentering for å hindre tilkobling utenfra.

Begrens antall mislykkede påloggingsforsøk

Angripere bruker ofte såkalte brute force-angrep for å komme seg inn på systemer som krever pålogging. Slike angrep innebærer at de bruker programvare for å automatisere pålogging med mange forskjellige kombinasjoner av mulige brukernavn og passord.

For å gjøre det vanskeligere å gjennomføre slike angrep, kan man sette på en regel som fører til at brukerkontoer låses etter et visst antall mislykkede innloggingsforsøk. Dette kan man gjøre i Windows Group Policy editor, under Datamaskinkonfigurasjon Windows-innstillinger Sikkerhetsinnstillinger Kontopolicyer Policy for låsing av konto Terskelverdi for låsing av konto.

Både sterke passord og totrinnsbekreftelse er også effektive mottiltak mot brute force-angrep, men å begrense antall mislykkede påloggingsforsøk er et svært enkelt tiltak som det anbefales at man gjør i tillegg.

Les mer

McAfee har utgitt en guide til god RDP-sikkerhet. Den tar for seg de viktigste tiltakene som nevnt her, og mer.

Du finner den her: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-security-explained/

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.