4. März 2021 Susan Bradley* und Julia Krokoszinski

So schützen Sie Windows Remote Desktop-Umgebungen

Angreifer verschaffen sich genauso Zugang zu Ihrem Windows-Netzwerk wie Ihre Mitarbeiter, die von zu Hause aus arbeiten: aus der Ferne. Wenn Sie diese einfachen Schritte befolgen, werden sie sich nach leichteren Zielen umsehen. [...]

img-1
Mit Remote Desktop Commander können Sie über den Geostandort verfolgen, von wo aus Ihre Benutzer und Angreifer versuchen, sich anzumelden (c) Microsoft / TBIT C00

Angreifer verschaffen sich oft über Fernzugriff Zugang zu Ihren Systemen. Ein Beispiel aus jüngster Zeit: Angreifer übernahmen die Kontrolle über die Software einer US-Wasseraufbereitungsanlage und änderten die Menge der in das System eingeleiteten Chemikalien. Bei den Computern, die zur Steuerung des Wassersystems verwendet wurden, handelte es sich Berichten zufolge um ungepatchte Windows 7-Rechner, die die Desktop-Sharing-Software TeamViewer verwendeten. Die Änderung wurde zwar schnell bemerkt und rückgängig gemacht, aber der Vorfall unterstreicht das Potenzial, aus der Ferne auch an anderen Orten Schaden anzurichten.

Im Zeitalter des Remote Workings ist der Fernzugriff ein Muss, aber auch die Überwachung des Zugriffs und die Sicherstellung des Schutzes des Fernzugriffs. Das FBI empfiehlt die folgenden Schritte, um den Fernzugriff besser zu schützen:

  • Verwenden Sie eine Multi-Faktor-Authentifizierung (MFA).
  • Verwenden Sie starke Passwörter, um die Anmeldedaten für das Remote Desktop Protocol (RDP) zu schützen.
  • Stellen Sie sicher, dass Virenschutz, Spamfilter und Firewalls auf dem neuesten Stand und richtig konfiguriert sind.
  • Überprüfen Sie Netzwerkkonfigurationen und isolieren Sie Computersysteme, die nicht aktualisiert werden können.
  • Überprüfen Sie Ihr Netzwerk auf Systeme, die RDP verwenden, schließen Sie ungenutzte RDP-Ports, wenden Sie MFA an, wo immer möglich, und protokollieren Sie RDP-Anmeldeversuche.
  • Überprüfen Sie Protokolle für alle Remote-Verbindungsprotokolle.
  • Schulen Sie Benutzer, um Social-Engineering-Versuche zu erkennen und zu melden.
  • Identifizieren und sperren Sie den Zugriff von Benutzern, die ungewöhnliche Aktivitäten zeigen.
  • Halten Sie die Software auf dem neuesten Stand.

Im Folgenden erfahren Sie, wie Sie Ihr Windows-Netzwerk so einrichten können, dass diese Ratschläge besser befolgt werden.

Aktivieren Sie die Remotedesktop-Überwachung

Das Überwachen von Windows-Remote-Desktop-Verbindungen ist relativ einfach, aber es ist in einer Protokolldatei auf Ihrem System vergraben. Folgen Sie diesem Pfad der Reihe nach:

  • „Anwendungs- und Dienstprotokolle“
  • „Microsoft“
  • „Windows“
  • „Terminal-Services-RemoteConnectionManager“
  • „Operational“

Verwenden Sie Tools zur besseren Analyse von Protokolldateien

Das Erstellen von Korrelationen über Ihre Server hinweg kann zeitaufwendig und schwer zu überprüfen sein. Einige Tools können jedoch helfen, wie z. B. der RDPSoft RDS Log viewer, mit dem Sie Protokolldateien auf Ihren Systemen überprüfen und abfragen können.

Ich empfehle, der Anleitung von Andy Milford zu folgen und Sysmon zu Ihren Remote-Desktop-Bereitstellungen hinzuzufügen, damit Sie diese besser überprüfen und auf Angriffe scannen können. Sie können verschiedene Konfigurationsdateien verwenden, um die Sysmon-Konfiguration je nach Bedarf fein abzustimmen. Empfohlene Anleitungen, die Sie auf Github und anderswo finden, bieten Ihnen einen soliden Start für die Überwachung von Ereignissen. Die von Olafhartong bereitgestellte Sysmon-Konfiguration ordnet die Ereignisse den MITRE ATT&CK-Sequenzen zu, um Ereignisse, bei denen es zu Angriffen kommt, besser zu erfassen.

Seien Sie vorsichtig mit Richtlinien zur Kontosperrung

Andy weist darauf hin, dass wir in der Vergangenheit empfohlen haben, dass Systemadministratoren Richtlinien zum Sperren von Konten einrichten, um Angreifer zu blockieren, die versuchen, ein Konto mit Brute-Force zu erzwingen. Das schafft jedoch eine Situation, in der Angreifer einen Denial-of-Service-Angriff auslösen können. Außerdem frustriert es Endbenutzer und verursacht Probleme für Administratoren. Daher rät er davon ab, Kontosperren zu aktivieren. Da Angreifer Benutzernamen und Kennwörter ausspähen, können sie sich lediglich anmelden und nicht ein Konto mit Brute-Force erzwingen.

Fügen Sie Remote Desktop Commander zu Ihren Remotedesktop-Server-Implementierungen hinzu

Mit Remote Desktop Commander können Sie über den Geostandort verfolgen, von wo aus Ihre Benutzer und Angreifer versuchen, sich anzumelden. Die Software sammelt und korreliert automatisch Schlüsselereignisse aus Ereignisprotokolldateien auf Sitzungshostservern und Remotedesktop-Gatewayservern und bietet eine grafische Ansicht, wer sich mit Ihrem Netzwerk verbindet.

Bei der Überprüfung meiner eigenen Remotedesktop-Verbindungen können Sie sehen, dass Mobilfunkverbindungen oft nicht als Zugriff von der Stadt aus angezeigt werden, in der sich der Benutzer befindet. Stattdessen wird möglicherweise ein regionaler Standort des Anbieters angezeigt. Möglicherweise müssen Sie zusätzliche Korrelationen durchführen, um festzustellen, ob die Benutzer ordnungsgemäß aus der Ferne zugreifen.

img-2
Remote Desktop Commander zeigt die Standorte der sich anmeldenden Personen an (c) Susan Bradley

Verstehen, wie Angreifer ungeschützte Remotedesktop-Implementierungen finden

Angreifer können auch Suchmaschinen verwenden, um herauszufinden, wo Remote Desktop-Webimplementierungen offengelegt sind. Zugangsseiten haben oft die Phrase RDWeb in der URL. Wie Andy in „RDPwned: A Guide to Securing Microsoft Remote Desktop Services“ schreibt, können Angreifer nach Standardfehlermeldungen suchen, die in den HTML-Code eingebettet sind, wie z. B. „allintext: Unable to display RD Web Access“ und viele ungeschützte RDWeb-Server treffen. Die Shodan-Suchmaschine ermöglicht Angreifern auch die Suche nach RDP.

Vorsicht vor Schwachstellen in Remote-Access-Tools von Drittanbietern

Die Fernzugriffs-Tools anderer Hersteller können Ihr System ebenfalls Angriffen aussetzen. Malwarebytes berichtete kürzlich, dass sich Angreifer aufgrund des pandemischen Trends zum Arbeiten von zu Hause aus verstärkt auf Fernzugriffspunkte konzentrieren. Vor einem Jahr fanden die Marktforscher von Check Point 16 größere Schwachstellen und insgesamt 25 Sicherheitslücken in Remote-Access-Tools.

Die Analysten von Check Point empfehlen, die Funktion „Copy & Paste“ über eine RDP-Verbindung zu deaktivieren, da sie zu bösartigen Aktionen führen könnte. Sie merken an: „Wenn ein Client die Copy & Paste-Funktion über eine RDP-Verbindung verwendet, kann ein bösartiger RDP-Server transparent beliebige Dateien an beliebige Dateispeicherorte auf dem Client-Computer ablegen, begrenzt nur durch die Berechtigungen des Clients. So können wir beispielsweise bösartige Skripte im Startup-Ordner des Clients ablegen, die nach einem Neustart auf seinem Computer ausgeführt werden und uns die volle Kontrolle geben.“

Das Zeitalter des Home Office erfordert einen differenzierteren Umgang mit dem Risiko. Nicht jeder benötigt Zugriff auf die Zwischenablage, aber für diejenigen, die ihn benötigen, wäre es eine große Unannehmlichkeit, wenn er blockiert würde. Begegnen Sie diesem Risiko mit einer Schulung der Endbenutzer, um sicherzustellen, dass sie nicht zur Zielscheibe von Phishing-Angriffen werden.

Aktivieren Sie die Zwei-Faktor-Authentifizierung

Schließlich sollten Sie nach Möglichkeit immer eine Zwei-Faktor-Authentifizierung (2FA) hinzufügen. Ich verwende Duo, um 2FA zu meinen Remote-Desktop-Anforderungen hinzuzufügen. Wenn Benutzer etwas anderes als ihren Benutzernamen und ihr Passwort benötigen, um auf ihre Ressourcen zuzugreifen, wird das Risiko von Ransomware und anderen Angriffen verringert.

*Susan Bradley schreibt unter anderem für CSOonline.com.


Mehr Artikel

img-4
News

Infineon IT-Services: Zwanzig Jahre Innovation und Exzellenz in Klagenfurt

4. Juli 2024

Was 2004 mit 80 Mitarbeiter:innen in Klagenfurt angefangen hat, ist heute auf rund 460 Beschäftigte aus 31 verschiedenen Nationen gewachsen: Die Infineon Technologies IT-Services GmbH mit Hauptsitz in Klagenfurt. Sie verantwortet und betreibt weltweit alle wesentlichen IT-Funktionen im Infineon-Konzern. Heuer begeht der Klagenfurter Standort, an dem rund 300 der 460 Beschäftigten sitzen, sein 20-Jahre-Jubiläum. […]

img-5
News

Fünf Trends im Product Lifecycle Management

4. Juli 2024

Produkte und Prozessketten werden immer vernetzter und komplexer. Wer hier den Anschluss verpasst, verliert auch den Produktivitäts- und Wettbewerbsvorsprung. Product Lifecycle Management ist daher der Schlüssel zur Zukunftsfähigkeit für Smart Factories und digitale Wertschöpfungsketten. […]

img-6
News

Innovative Customer Experience stellt noch eine große Hürde dar

4. Juli 2024

Der globale Technologieanbieter Zoho stellt den zweiten Teil seiner „Digital Health“-Studie vor. Im Fokus stand diesmal die Frage nach dem digitalen Reifegrad von Unternehmen in Bezug auf Kunden- und Mitarbeitererfahrung. Ergebnis: Unternehmen zeigen deutliches Optimierungspotenzial, wenn es darum geht, ein wirklich gutes Kundenerlebnis zu bieten. […]

img-7
News

Stabiles Outdoor-WLAN für schwere Bedingungen

4. Juli 2024

In vielen Situationen sind heutzutage zuverlässige und leistungsstarke Datenverbindungen unerlässlich – von Einsätzen von Rettungskräften bis hin zu Wartungsarbeiten an entlegenen Orten. Für solche Zwecke hat die Thomas-Krenn.AG einen robusten Datenkoffer entworfen, der Nutzer zuverlässig mit 4G- und 5G-basiertem WLAN versorgen kann. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*