Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: araf56
کارشناس نرم افزار-کارشناس ارشد فناوری اطلاعات-مدرس کامپیوتر-مدیر فناوری اطلاعات -net+,mcse,ccna,ceh certificate
ارسال پیام خصوصی
امتیازات این مطلب
نکته: هجوم Ransomware ها از طریق پروتکل RDP

Image

سرویس Remote Desktop و نفوذ بدافزارها


باج افزارها گونه ای از بدافزارها هستند که در یکی دو سال اخیر به شدت توسعه و گسترش پیدا کرده اند. علت افزایش روزافزون آنها، غیر قابل ردگیری بودن و در آمد زا بودن آن برای مهاجمان بوده. مقالات و نکات آموزشی زیادی پیرامون باج افزارها در سایت ITPRO موجود می باشد. اما بطور خلاصه، باج افزارها، بدافزارهایی هستند که بطور معمول از طریق پیوست های ایمیل وارد سیستم و شبکه شده و سپس در طی مراحلی اقدام به رمزگذاری اطلاعات مربوطه بر اساس قوانین و قواعد رمزنگاری کرده. امکان بازکردن فایلهای رمز شده تا پرداخت باج توسط قربانی امکان پذیر نبوده.
در حال حاضر مهاجمان از روشها و متدهای متنوعی برای نفوذ به سیستم ها و رمزگذاری اطلاعات استفاده می کنند. در آخرین اخبار که طبق رصدهای مرکز ماهر گزارش شده، موج بالایی از حملات باج افزاری از طریق آسیب پذیری سرویس REMOTE DESKTOP در سطح سرورهای ویندوزی صورت گرفته که در طی آن مهاجمین با سوءاستفاده از دسترسی‌های حفاطت نشده به سرویس Remote Desktop ‌ویندوز (پروتکل RDP)، و وجود رمز عبور ضعیف وارد شده و با انتقال فایل، اقدام به رمزگزاری اطلاعات موجود بر روی فایل‌های سرور می‌ کنند.
Image

لذا توصیه های موکد بر این بوده که تا حد امکان از باز بودن پورت Remote Desktop اجتناب کرده و در صورت لزوم از روشهای Encryption مناسب مانند SSLSSH استفاده گردد. در ذیل به تعدادی از روشهای امن سازی سرویس Remote Desktop اشاره شده است.(|ارتباط امن::http:security.itpro.irtutorials34302%d8%a7%d8%b1%d8%aa%d8%a8%d8%a7%d8%b7-%d8%a7%d9%85%d9%86|)
1. محدود کردن کاربرانی که مجوز ارتباط Remote با سرور و یا هر دستگاه دیگری را خواهند داشت.
System Properties پنجره \ Remote تب\Allow Connection Only From Computers…\Select User\Add
2. تعیین گروه کاربرانی که امکان Remote خواهند داشت.
Run \ Gpedit.Mscدستور \ Computer Config \Windows Setting\Security Setting\Local Policies\User Rights Assignment\Allow Log On Through Remote Desktop Services
3. تنظیمات امنیتی کلمه عبور در فیلد Password Policy و Account Lockout Policy
Run\ Gpedit.Mscدستور \ Computer Config \Windows Setting\Security Setting\Account Policy\
4. انجام تنظیمات امنیتی در Remote Desktop Session (نصب Feature مربوطه) از قبیل :
4.1. Run \ Gpedit.Mscدستور \ Computer Config\Administrative Template\Windows Components \Remote Desktop Services\Remote Desktop Connection Client
4.1.1. \Configure Server Authentication For Client\Enable , Authentication Setting:Do Not Connect If Authentication Fail
4.1.2. \Do Not Allow Password To Be Saved \ Enable
4.2. Run \ Gpedit.Mscدستور \ Computer Config\Administrative Template\Windows Components \Remote Desktop Services\Remote Desktop Session Host
4.2.1. \Connection\Automatic Reconnection\ Disable
4.2.2. \Connection\Limit Number Of Connection\Enable , Rd Maximum :1
4.2.3. \Connection\Restrict Remote Desktop Services …\Enable
4.2.4. \Security\Set Client Connection Encryption Level\Enable , Encrypte Level : High
4.2.5. \Security\Always Prompt For Password … \ Enable
4.2.6. \Security\Require Secure Rpc Communication\Enable
4.2.7. \Security\Do Not Allow Local Administrators … Permission\Enable
4.2.8. \Security\ Require User Authentication..\Enable
4.2.9. \Session Time Limit\تنظیمات مربوط به قطه تماس بعد از زمان مشخص در حالت های مختلف
5. تغییر پورت Remote Desktop

منبع : Ransomware enters companies through RDP servers
نویسنده : علیرضا(ARAF)
منبع: ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

سایر مطالب این گروه
دیدگاه ها
  • ارسال توسط:
  • زمان ارسال: 11 ماه قبل
با تشکر از مقاله خوبتون.هفته قبل هم در یکی از مدارس به خاطر باز بودن پورت ریموت دسکتاپ کل ویندوز سرور باج افزار گرفته بود...
  • ارسال توسط:
  • زمان ارسال: 11 ماه قبل
اسم این باج افزار crysis هست که درحال پخش کردن خود با حمله brute force به پروتکل rdp است.
برای ارسال نظر وارد شوید.