我一直反复强调不让坏人进入你的网络, 如果他们已经在里面了, 否认横向运动. 在上次的APP客户端讨论上, 我提到过,我正在观察许多圣骑士哨兵监控网站,它们只是用真正的域管理员ID RDP到所有的服务器上——就像我们15年前做的那样.
科技讲座的与会者承认,要改掉这些坏习惯很难,因为“我们一直都是这么做的”,“这样做太容易了”。. 换句话说,你正在因为动量而危及潜在的安全. 要打破近二十年的坏习惯,转变成一种更安全的运营模式,实在是太难了.
你确实需要改掉这些坏习惯.
目前的最佳实践是尽可能使用远程服务器访问工具(RSAT)和委托,无论是从您的安全桌面还是从安全管理服务器. 随机的RDPing来完成你需要做的任务.
在我剩下的花絮里, 我将讨论如何限制网络中的RDP,以帮助您更好地控制对服务器的访问.
如果一个坏人进入并建立商店,您的RDP客户端(MSTSC).EXE)将成为他们的第一个“首选”工具,看看他们能感染你的服务器并窃取数据到什么程度. 我们得阻止他们进入把他们关起来不让他们看到任何东西直到我们杀了他们.
以下是一些需要记住的事情:
- VNC就像没有任何安全性. 黑客可以粉碎密码并随意进入你的网络. 如果使用VNC,必须尽快将其从网络中删除.
- 关闭RDP是一个好的开始, 但如果你把它关掉然后“在需要的时候再打开”, 它会一直开着. 我一次又一次地看到人们再次“忘记”关闭RDP. 此外,打开和关闭它是一件痛苦的事情,它会减慢我们的工作速度. 我们需要更可靠的东西来限制远程访问.
- 您可以编程地只允许来自“安全”位置(如APP客户端办公室机器)的RDP连接,以限制对RDP的暴露. 这是一个良好的开端. 而且这是免费的. 然而,如果一个APP客户端人员的工作站被感染了,那么你仍然泄露了网络.
- 你们中的许多人拥有微软端点配置管理器(又名SCCM). 这意味着您拥有双向SCCM远程控制客户端. 最佳实践表明,使用使用不同凭证的替代“RDP类”客户机是理想的. 如果您拥有SCCM,请考虑使用该客户端并在所有地方关闭RDP. 请记住,SCCM控制台可以独立于SCCM服务器安装,以便更方便地访问.
- 您可以购买另一个RDP类型的客户端. 来自太阳风的Dameware被许多学校使用,并且非常好. 然后您可以关闭RDP并使用带外, 替代凭证, RDP访问客户端做你需要做的事情.
- 最后,您可以将MFA添加到所有服务器RDP会话以及APP客户端工作站. 思科DUO在这方面做得很好. 如果我RDP到配置了DUO MFA的服务器或工作站,我就会遇到DUO MFA代码的问题. 我甚至可以配置它不要求代码,而只是立即提示我的手机询问Y/N DUO访问问题(就像GMAIL在手机上一样). 此外,我可以将其配置为在RDP和本地登录或仅RDP上具有MFA. 我可以告诉DUO防止进入安全模式的企图突破我的安全. 设备配置DUO MFA大约需要5分钟,不需要重启. 它与DUO授权的AD用户绑定,因此任何DUO分配的用户都可以访问它. 所有GPO访问规则也仍然在MFA之上. DUO是由用户出售的,所以您可以实现MFA的地方越多,您就越安全,也就越容易证明购买MFA许可证的合理性.
DUO MFA RDP拒绝未经授权的横向移动,同时不会给你的APP客户端人员或用户带来困难,也不会浪费每个人完成工作的时间. 另外,不需要手动操作来记住撤消或重做.
然后,坏人会挂断MFA挑战,试图远程进入任何服务器或MFA保护的工作站(希望是所有的APP客户端机器和所有的服务器).
如果你还没有这样做的话, 你需要决定一个安全的, 内部远程访问计划,并承诺关闭网络上的RDP攻击向量.
给我们打电话. 我们很乐意帮忙.
最近的评论