So schützen Sie Windows Remote Desktop-Umgebungen

Angreifer verschaffen sich genauso Zugang zu Ihrem Windows-Netzwerk wie Ihre Mitarbeiter, die von zu Hause aus arbeiten: aus der Ferne. Wenn Sie diese einfachen Schritte befolgen, werden sie sich nach leichteren Zielen umsehen. [...]

Mit Remote Desktop Commander können Sie über den Geostandort verfolgen, von wo aus Ihre Benutzer und Angreifer versuchen, sich anzumelden (c) Microsoft / TBIT C00

Angreifer verschaffen sich oft über Fernzugriff Zugang zu Ihren Systemen. Ein Beispiel aus jüngster Zeit: Angreifer übernahmen die Kontrolle über die Software einer US-Wasseraufbereitungsanlage und änderten die Menge der in das System eingeleiteten Chemikalien. Bei den Computern, die zur Steuerung des Wassersystems verwendet wurden, handelte es sich Berichten zufolge um ungepatchte Windows 7-Rechner, die die Desktop-Sharing-Software TeamViewer verwendeten. Die Änderung wurde zwar schnell bemerkt und rückgängig gemacht, aber der Vorfall unterstreicht das Potenzial, aus der Ferne auch an anderen Orten Schaden anzurichten.

Im Zeitalter des Remote Workings ist der Fernzugriff ein Muss, aber auch die Überwachung des Zugriffs und die Sicherstellung des Schutzes des Fernzugriffs. Das FBI empfiehlt die folgenden Schritte, um den Fernzugriff besser zu schützen:

  • Verwenden Sie eine Multi-Faktor-Authentifizierung (MFA).
  • Verwenden Sie starke Passwörter, um die Anmeldedaten für das Remote Desktop Protocol (RDP) zu schützen.
  • Stellen Sie sicher, dass Virenschutz, Spamfilter und Firewalls auf dem neuesten Stand und richtig konfiguriert sind.
  • Überprüfen Sie Netzwerkkonfigurationen und isolieren Sie Computersysteme, die nicht aktualisiert werden können.
  • Überprüfen Sie Ihr Netzwerk auf Systeme, die RDP verwenden, schließen Sie ungenutzte RDP-Ports, wenden Sie MFA an, wo immer möglich, und protokollieren Sie RDP-Anmeldeversuche.
  • Überprüfen Sie Protokolle für alle Remote-Verbindungsprotokolle.
  • Schulen Sie Benutzer, um Social-Engineering-Versuche zu erkennen und zu melden.
  • Identifizieren und sperren Sie den Zugriff von Benutzern, die ungewöhnliche Aktivitäten zeigen.
  • Halten Sie die Software auf dem neuesten Stand.

Im Folgenden erfahren Sie, wie Sie Ihr Windows-Netzwerk so einrichten können, dass diese Ratschläge besser befolgt werden.

Aktivieren Sie die Remotedesktop-Überwachung

Das Überwachen von Windows-Remote-Desktop-Verbindungen ist relativ einfach, aber es ist in einer Protokolldatei auf Ihrem System vergraben. Folgen Sie diesem Pfad der Reihe nach:

  • „Anwendungs- und Dienstprotokolle“
  • „Microsoft“
  • „Windows“
  • „Terminal-Services-RemoteConnectionManager“
  • „Operational“

Verwenden Sie Tools zur besseren Analyse von Protokolldateien

Das Erstellen von Korrelationen über Ihre Server hinweg kann zeitaufwendig und schwer zu überprüfen sein. Einige Tools können jedoch helfen, wie z. B. der RDPSoft RDS Log viewer, mit dem Sie Protokolldateien auf Ihren Systemen überprüfen und abfragen können.

Ich empfehle, der Anleitung von Andy Milford zu folgen und Sysmon zu Ihren Remote-Desktop-Bereitstellungen hinzuzufügen, damit Sie diese besser überprüfen und auf Angriffe scannen können. Sie können verschiedene Konfigurationsdateien verwenden, um die Sysmon-Konfiguration je nach Bedarf fein abzustimmen. Empfohlene Anleitungen, die Sie auf Github und anderswo finden, bieten Ihnen einen soliden Start für die Überwachung von Ereignissen. Die von Olafhartong bereitgestellte Sysmon-Konfiguration ordnet die Ereignisse den MITRE ATT&CK-Sequenzen zu, um Ereignisse, bei denen es zu Angriffen kommt, besser zu erfassen.

Seien Sie vorsichtig mit Richtlinien zur Kontosperrung

Andy weist darauf hin, dass wir in der Vergangenheit empfohlen haben, dass Systemadministratoren Richtlinien zum Sperren von Konten einrichten, um Angreifer zu blockieren, die versuchen, ein Konto mit Brute-Force zu erzwingen. Das schafft jedoch eine Situation, in der Angreifer einen Denial-of-Service-Angriff auslösen können. Außerdem frustriert es Endbenutzer und verursacht Probleme für Administratoren. Daher rät er davon ab, Kontosperren zu aktivieren. Da Angreifer Benutzernamen und Kennwörter ausspähen, können sie sich lediglich anmelden und nicht ein Konto mit Brute-Force erzwingen.

Fügen Sie Remote Desktop Commander zu Ihren Remotedesktop-Server-Implementierungen hinzu

Mit Remote Desktop Commander können Sie über den Geostandort verfolgen, von wo aus Ihre Benutzer und Angreifer versuchen, sich anzumelden. Die Software sammelt und korreliert automatisch Schlüsselereignisse aus Ereignisprotokolldateien auf Sitzungshostservern und Remotedesktop-Gatewayservern und bietet eine grafische Ansicht, wer sich mit Ihrem Netzwerk verbindet.

Bei der Überprüfung meiner eigenen Remotedesktop-Verbindungen können Sie sehen, dass Mobilfunkverbindungen oft nicht als Zugriff von der Stadt aus angezeigt werden, in der sich der Benutzer befindet. Stattdessen wird möglicherweise ein regionaler Standort des Anbieters angezeigt. Möglicherweise müssen Sie zusätzliche Korrelationen durchführen, um festzustellen, ob die Benutzer ordnungsgemäß aus der Ferne zugreifen.

Remote Desktop Commander zeigt die Standorte der sich anmeldenden Personen an (c) Susan Bradley

Verstehen, wie Angreifer ungeschützte Remotedesktop-Implementierungen finden

Angreifer können auch Suchmaschinen verwenden, um herauszufinden, wo Remote Desktop-Webimplementierungen offengelegt sind. Zugangsseiten haben oft die Phrase RDWeb in der URL. Wie Andy in „RDPwned: A Guide to Securing Microsoft Remote Desktop Services“ schreibt, können Angreifer nach Standardfehlermeldungen suchen, die in den HTML-Code eingebettet sind, wie z. B. „allintext: Unable to display RD Web Access“ und viele ungeschützte RDWeb-Server treffen. Die Shodan-Suchmaschine ermöglicht Angreifern auch die Suche nach RDP.

Vorsicht vor Schwachstellen in Remote-Access-Tools von Drittanbietern

Die Fernzugriffs-Tools anderer Hersteller können Ihr System ebenfalls Angriffen aussetzen. Malwarebytes berichtete kürzlich, dass sich Angreifer aufgrund des pandemischen Trends zum Arbeiten von zu Hause aus verstärkt auf Fernzugriffspunkte konzentrieren. Vor einem Jahr fanden die Marktforscher von Check Point 16 größere Schwachstellen und insgesamt 25 Sicherheitslücken in Remote-Access-Tools.

Die Analysten von Check Point empfehlen, die Funktion „Copy & Paste“ über eine RDP-Verbindung zu deaktivieren, da sie zu bösartigen Aktionen führen könnte. Sie merken an: „Wenn ein Client die Copy & Paste-Funktion über eine RDP-Verbindung verwendet, kann ein bösartiger RDP-Server transparent beliebige Dateien an beliebige Dateispeicherorte auf dem Client-Computer ablegen, begrenzt nur durch die Berechtigungen des Clients. So können wir beispielsweise bösartige Skripte im Startup-Ordner des Clients ablegen, die nach einem Neustart auf seinem Computer ausgeführt werden und uns die volle Kontrolle geben.“

Das Zeitalter des Home Office erfordert einen differenzierteren Umgang mit dem Risiko. Nicht jeder benötigt Zugriff auf die Zwischenablage, aber für diejenigen, die ihn benötigen, wäre es eine große Unannehmlichkeit, wenn er blockiert würde. Begegnen Sie diesem Risiko mit einer Schulung der Endbenutzer, um sicherzustellen, dass sie nicht zur Zielscheibe von Phishing-Angriffen werden.

Aktivieren Sie die Zwei-Faktor-Authentifizierung

Schließlich sollten Sie nach Möglichkeit immer eine Zwei-Faktor-Authentifizierung (2FA) hinzufügen. Ich verwende Duo, um 2FA zu meinen Remote-Desktop-Anforderungen hinzuzufügen. Wenn Benutzer etwas anderes als ihren Benutzernamen und ihr Passwort benötigen, um auf ihre Ressourcen zuzugreifen, wird das Risiko von Ransomware und anderen Angriffen verringert.

*Susan Bradley schreibt unter anderem für CSOonline.com.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*