Whitepapers

Es steht außer Frage, dass Remote Desktop das bevorzugte Remote-Verwaltungstool des KMU-Administrators ist. Remote Desktop ist äußerst nützlich für die Remote-Verwaltung, da es Ihnen interaktive Sitzungen mit Ihren Remote-Systemen ermöglicht – der KMU-Administrator kann damit genauso arbeiten, als wären die Systeme lokal. Es besteht keine Notwendigkeit, andere Remote-Management-Tools zu erlernen, die schwer einzurichten und zu nutzen sind, oder komplizierte Skript-Technologien.

Remote Desktop ermöglicht es KMU-Administratoren, Probleme remote zu diagnostizieren und zu beheben. Allerdings ist Remote Desktop ein leistungsstarkes Tool, das oft hochprivilegierten Zugriff auf die Remote-Systeme in Ihrem Netzwerk nutzt. Daher ist die Sicherheit von Remote Desktop von entscheidender Bedeutung. Das Federal Bureau of Investigation (FBI) und das Department of Homeland Security (DHS) empfehlen Unternehmen, ihre Remote-Desktop-Nutzung zu überprüfen und zu verstehen sowie Maßnahmen zur Verringerung des Kompromittierungsrisikos zu ergreifen. Sie weisen darauf hin, dass das Versäumnis, geeignete Sicherheitsvorkehrungen zu implementieren, sowohl Malware- als auch Ransomware-Angriffe begünstigen kann und dass Remote-Desktop-Exploits schwer zu erkennen sind, da sie keine Benutzereingabe erfordern. Werfen wir einen genaueren Blick auf das Verständnis von RDP und einige der wichtigsten Sicherheitsbedenken, die der KMU-Administrator bei Remote Desktop beachten muss.

Grundlagen von RDP

Um Remote Desktop ordnungsgemäß zu sichern, ist es wichtig zu verstehen, wie es funktioniert. Remote Desktop verwendet das proprietäre Protokoll von Microsoft, Remote Desktop Protocol (RDP), um eine Verbindung zu Remote-Systemen herzustellen.

Standardmäßig verwendet RDP den TCP-Port 3389 und den UDP-Port 3389. RDP ist darauf ausgelegt, verschiedene Netzwerktopologien und mehrere LAN-Protokolle zu unterstützen. Auf dem Zielserver verwendet RDP seinen eigenen Videotreiber, um die Bildschirmausgabe in Netzwerkpakete zu rendern, und nutzt dann das RDP-Netzwerkprotokoll, um diese an den Remote-Desktop-Client zu senden. Der RDP-Client empfängt die gerenderten Anzeigedaten und wandelt sie in Microsoft-Windows-GDI-API-Aufrufe um, die vom Remote-Desktop-Client angezeigt werden.

Maus- und Tastaturereignisse werden vom Client zum Server weitergeleitet. Der RDP-Server verwendet seinen eigenen Tastatur- und Maus-Treiber zur Verarbeitung dieser Ereignisse. Darüber hinaus kann RDP andere lokale Client-Ressourcen zum Remote-RDP-Ziel weiterleiten, einschließlich Zwischenablage, Drucker und lokale Laufwerke.

RDP-Sicherheitsrisiken

Remote Desktop ist ein leistungsstarkes Tool und es gibt eine Reihe möglicher RDP-Sicherheitsrisiken – insbesondere wenn Ihre Remote-Desktop-Server über das Internet erreichbar sind.

Eine internetweite Überprüfung von Sicherheitsforschern von Rapid7 zeigte, dass über 11 Millionen Geräte mit offenen 3389/TCP-Ports online waren. Die Zahl stieg gegenüber Anfang 2016, als eine frühere Überprüfung 9 Millionen Geräte mit offenem Port 3389 fand. Viele Unternehmen – insbesondere KMU – sind sich der Risiken nicht bewusst, die mit der möglichen Freigabe von RDP über das Internet einhergehen.

RDP kann ein attraktives Ziel für Hacker sein, da die Sicherheit typischerweise an eine Active Directory (AD)-Domäne zur Authentifizierung gebunden ist. Wenn AD oder dessen Domänenvertrauensstellungen falsch konfiguriert sind, können Hacker Anmeldedaten für die privaten internen Ressourcen Ihrer Organisation erhalten.

So können beispielsweise selbst bei Verwendung einer DMZ-Domäne für Remote Desktops falsch konfigurierte Vertrauensstellungen innerhalb Ihrer Unternehmensdomänen zu Sicherheitsverletzungen führen. RDP ist ein wichtiger Sicherheitsvektor, und wenn Hacker einen Weg in RDP finden, können sie Benutzerkonten validieren, Passwörter offenlegen und Ihre internen Systeme mit Malware und Ransomware infizieren.

Brute Force

Einer der häufigsten Angriffe auf exponierte RDP-Systeme ist Brute-Force-Passwort-Hacking. Bei einem Brute-Force-Angriff hat der Angreifer typischerweise eine kleine Liste von Benutzer-IDs, und dann wird automatisierte Hacking-Software verwendet, um schnell eine große Anzahl von Passwort-Vermutungen zu generieren.

Im Juli 2018 wurde LabCorp, eines der größten klinischen Labore in den USA, von der Samsam-Gruppe mittels eines Brute-Force-Angriffs auf RDP gehackt. Sie erlangten Zugang über RDP und konnten anschließend Ransomware im LabCorp-Netzwerk einschleusen. Obwohl der Ransomware-Angriff nicht zu einem Datenleck führte, konnten Tausende von Systemen verschlüsselt werden, und Hunderte von Produktionsservern mussten offline genommen werden, während ihre Systeme wiederhergestellt wurden.

Dies war im Wesentlichen dieselbe Ransomware, die 2017 für den Angriff auf die Stadt Atlanta verwendet wurde. Der Schutz vor Brute-Force-RDP-Angriffen ist für alle exponierten RDP-Systeme von entscheidender Bedeutung.

Password Spraying

Eine weitere gängige RDP-Angriffsmethode ist als Password Spraying bekannt. Bei dieser Art von Angriff gibt es typischerweise eine lange Liste von Benutzern und eine kleine Liste strategisch ausgewählter Passwörter, die verwendet werden, um sich bei verschiedenen Konten anzumelden.

Password Spraying ermöglicht es Hackern, viele Anmeldeversuche durchzuführen, meist ohne Benutzer zu sperren, da wiederholte Anmeldeversuche mit derselben Benutzer-ID vermieden werden, sodass wenig Benachrichtigung erfolgt. Diese Technik kann effektiv sein, weil viele Mitarbeiter schwache Passwörter verwenden. Die Liste der potenziellen Angriffskonten wird von Hackern oft durch das Auswerten öffentlich verfügbarer Informationsquellen wie Google, LinkedIn und Facebook erstellt.

Man-in-the-Middle-Angriffe

Ältere Versionen von RDP und falsch konfigurierte Implementierungen können auch anfällig für Man-in-the-Middle-Angriffe sein. Im Wesentlichen kann ein Man-in-the-Middle-Angriff bewirken, dass der RDP-Datenverkehr über einen anderen Host fließt als den, den der Benutzer beabsichtigt. Dieser Man-in-the-Middle-Host kann dann den RDP-Netzwerkverkehr einsehen und in einigen Fällen manipulieren und möglicherweise sogar die zwischen Server und Client ausgehandelte Sicherheitsstufe ändern. Dies könnte dazu führen, dass Benutzername und Passwort abgefangen werden oder andere Sicherheitslücken entstehen.

RDP absichern

Es gibt eine Reihe verschiedener Optionen, die KMU nutzen können, um die Sicherheit ihrer Remote-Desktop-Verbindungen zu erhöhen. Die Nutzung einiger oder aller dieser Optionen kann einen großen Beitrag zur Sicherheit und zum Schutz der IT-Infrastruktur leisten.

Sicherheit beginnt mit starken Passwörtern

Die Sicherheit beginnt damit, sicherzustellen, dass alle Ihre Benutzer starke Passwörter verwenden. Starke Passwörter, die nicht leicht zu erraten sind, bieten einen grundlegenden Schutz für die sensiblen Daten Ihrer Organisation und können einen starken Schutz vor Brute-Force- und Password-Spraying-Angriffen bieten. Tools wie Devolutions Remote Desktop Manager (RDM) können sicherstellen, dass Ihre Remote-Desktop-Passwörter stark sind, indem sie Passwortrichtlinien unterstützen, die Länge, Komplexitätsstufen erfordern und die Passwort-Wiederverwendungsgeschichte erzwingen.