Λίστα Ελέγχου Ασφάλειας RDP: 12 Πράγματα προς Διόρθωση Πριν από το Επόμενο Pentest
Το RDP (Remote Desktop Protocol) εμφανίζεται στην αρχική φάση πρόσβασης σχεδόν κάθε σημαντικού περιστατικού ransomware. Εκτεθειμένη θύρα 3389, ασθενή διαπιστευτήρια, χωρίς MFA — οι επιτιθέμενοι γνωρίζουν το σχέδιο. Η επόμενη δοκιμή penetration θα εντοπίσει αυτά τα προβλήματα εάν δεν τα έχετε ήδη αντιμετωπίσει. Αυτή η λίστα ελέγχου σας λέει ακριβώς τι πρέπει να διορθώσετε και πώς.
Η Λίστα Ελέγχου με 12 Στοιχεία
Εργαστείτε με αυτά με τη σειρά. Τα στοιχεία 1–3 είναι κριτικής σημασίας· αντιμετωπίστε τα πριν από οτιδήποτε άλλο.
1. Εκτεθειμένη θύρα RDP (3389) απευθείας στο διαδίκτυο
Πρόβλημα: Οι διακομιστές Windows σας δέχονται συνδέσεις RDP στη θύρα 3389 από το δημόσιο διαδίκτυο.
Κίνδυνος: Οι επιτιθέμενοι σαρώνουν συνεχώς για ανοιχτή θύρα 3389. Εντός ωρών από την ενεργοποίηση ενός νέου διακομιστή, λαμβάνει επιθέσεις brute-force και credential-stuffing. Αυτό είναι το πιο συνηθισμένο διάνυσμα αρχικής πρόσβασης ransomware στις περιβάλλοντα επιχειρήσεων.
Διόρθωση: Αφαιρέστε τον κανόνα τείχους προστασίας που επιτρέπει εισερχόμενη θύρα 3389 από το διαδίκτυο. Αποκτήστε πρόσβαση σε διακομιστές Windows μόνο μέσω μιας λύσης PAM (όπως VaultPAM) που διαμεσολαβεί τη συνεδρία — η θύρα RDP παραμένει κλειστή στο διακομιστή και η σύνδεση αποκαθιδρύεται εξερχόμενη μέσω του connector.
2. Κοινόχρηστα διαπιστευτήρια διαχειριστή σε διακομιστές
Πρόβλημα: Η ομάδα σας χρησιμοποιεί ένα κοινόχρηστο λογαριασμό Administrator (ή admin, ή ένα μόνο ονομαστικό λογαριασμό) σε πολλούς διακομιστές και πολλοί άνθρωποι γνωρίζουν τον κωδικό πρόσβασης.
Κίνδυνος: Όταν ένας άνθρωπος φεύγει, αντιμετωπίζετε την αδύνατη επιλογή περιστροφής του κωδικού πρόσβασης και διακοπής της δραστηριότητας όλων των άλλων, ή αφήνοντας την πρόσβαση του πρώην υπαλλήλου ενεργή. Όταν έχετε ένα περιστατικό, δεν μπορείτε να προσδιορίσετε ποιος εκτέλεσε ποια ενέργεια επειδή όλη η δραστηριότητα αποδίδεται σε ένα κοινόχρηστο λογαριασμό.
Διόρθωση: Μεταβείτε σε μεμονωμένους ονομαστικούς λογαριασμούς για όλη την προνομιακή πρόσβαση. Χρησιμοποιήστε ένα θησαυρό διαπιστευτηρίων για αποθήκευση και αυτόματη περιστροφή διαπιστευτηρίων διακομιστή. Χρησιμοποιήστε session brokering ώστε οι χρήστες να συνδέονται χωρίς να λαμβάνουν τον πραγματικό κωδικό πρόσβασης — ο θησαυρός τον κρατάει.
3. Καμία MFA σε προνομιακούς λογαριασμούς
Πρόβλημα: Οι διαχειριστές αυθεντικοποιούνται σε συστήματα παραγωγής μόνο με όνομα χρήστη και κωδικό πρόσβασης.
Κίνδυνος: Ένα μόνο email phishing, dump διαπιστευτηρίων ή κωδικός πρόσβασης που χρησιμοποιείται ξανά δίνει σε έναν επιτιθέμενο πλήρη διαχειριστική πρόσβαση. Το MFA είναι το μόνο ελεγχόμενο με τη μεγαλύτερη επίδραση για την αποτροπή επιθέσεων βασισμένων σε διαπιστευτήρια.
Διόρθωση: Απαιτήστε TOTP (Google Authenticator, Authy) ή κλειδιά υλικού (YubiKey, Touch ID, Windows Hello) για κάθε προνομιακό λογαριασμό. Επαληθεύστε την εφαρμογή — τα έγγραφα πολιτικής δεν μετράνε· δείξτε ότι μια προσπάθεια σύνδεσης χωρίς MFA απορρίπτεται.
4. Καμία εγγραφή συνεδρίας
Πρόβλημα: Όταν συμβαίνουν προνομιακές συνεδρίες, δεν υπάρχει καμία εγγραφή του τι συνέβη μέσα στη συνεδρία.
Κίνδυνος: Η ανάλυση forensics μετά το περιστατικό είναι αδύνατη. Οι ελεγκτές δεν μπορούν να επαληθεύσουν ποιες ενέργειες έγιναν. Οι απειλές insiders αφήνουν καμία διαδρομή στοιχείων. Οι επιτιθέμενοι ransomware που κακοχρησιμοποιούν διαπιστευτήρια διαχειριστή δεν μπορούν να ανιχνευθούν μετά το γεγονός σύνδεσης.
Διόρθωση: Δρομολογήστε όλες τις προνομιακές συνεδρίες μέσω μιας λύσης PAM που καταγράφει πλήρες βίντεο συνεδρίας και ημερολόγια δραστηριότητας (εντολές που εκτελέστηκαν, αρχεία που μεταφέρθηκαν, περιεχόμενα του clipboard). Αποθηκεύστε εγγραφές με ταχυδρομική ακεραιότητα (αλυσίδες κατακερματισμού) για τουλάχιστον 12 μήνες.
5. Μόνιμες προνομιακές δικαιώματα (χωρίς JIT πρόσβαση)
Πρόβλημα: Οι διαχειριστές έχουν προνομιακή πρόσβαση 24/7/365 σε συστήματα παραγωγής, ακόμη και όταν δεν εκτελούν αποστολή διαχείρισης.
Κίνδυνος: Ένας επιτιθέμενος που παραβιάζει τον σταθμό εργασίας ή τα διαπιστευτήρια ενός διαχειριστή έχει άμεση και συνεχή πρόσβαση στην παραγωγή. Η επιφάνεια επίθεσης είναι πάντα μέγιστη.
Διόρθωση: Εφαρμόστε Just-in-Time (JIT) πρόσβαση. Τα προνόμια χορηγούνται για μια συγκεκριμένη εργασία και χρονικό παράθυρο, στη συνέχεια αυτόματα ανακαλούνται. Μεταξύ των εργασιών, ο λογαριασμός δεν έχει προνομιακή πρόσβαση — ή καμία ενεργό λογαριασμό καθόλου.
6. Καμία προώθηση ημερολογίου ελέγχου
Πρόβλημα: Ημερολόγια γεγονότων διακομιστή (Windows Event Log, Linux auth log) κάθονται στο διακομιστή όπου μπορούν να διαγραφούν από έναν επιτιθέμενο που επιτυγχάνει διαχειριστική πρόσβαση.
Κίνδυνος: Ένας επιτιθέμενος με πρόσβαση διαχειριστή μπορεί να διαγράψει ημερολόγια και να διαγράψει στοιχεία της παρουσίας του. Κατά την ανάκτηση περιστατικού, τα κρίσιμα δεδομένα forensics ενδέχεται να λείπουν.
Διόρθωση: Προωθήστε όλα τα γεγονότα προνομιακής πρόσβασης σε ένα κεντρικευμένο SIEM ή αμετάβλητο κατάστημα ημερολογίων αμέσως μετά τη γέννηση. Βεβαιωθείτε ότι ο προωθητής ημερολογίου λειτουργεί ως υπηρεσία που δεν μπορεί να σταματήσει χωρίς να ενεργοποιήσει ένα συναγερμό.
7. Μη περιστρεφόμενα διαπιστευτήρια σε κοινόχρηστα θησαυρούς ή υπολογιστικά φύλλα
Πρόβλημα: Τα διαπιστευτήρια παραγωγής αποθηκεύονται σε ένα κοινόχρηστο υπολογιστικό φύλλο, ένα κοινόχρηστο διαχειριστή κωδικών πρόσβασης με πολλούς χρήστες ή ένα εργαλείο τεκμηρίωσης IT — και δεν έχουν περιστραφεί εδώ και μήνες ή χρόνια.
Κίνδυνος: Κάθε άτομο που έχει ποτέ έχει πρόσβαση σε αυτό το υπολογιστικό φύλλο ή τον διαχειριστή κωδικών πρόσβασης είναι ένας πιθανός κίνδυνος. Τα διαπιστευτήρια που κοινοποιούνται σε απλό κείμενο είναι διαπιστευτήρια που θα διαφύγουν τελικά.
Διόρθωση: Μεταφέρετε όλα τα διαπιστευτήρια παραγωγής σε ένα θησαυρό με αυτόματη περιστροφή. Ορίστε προγράμματα περιστροφής κατάλληλα για την ευαισθησία (καθημερινά για κρίσιμους λογαριασμούς παραγωγής, εβδομαδιαία για άλλους). Διαμορφώστε το θησαυρό ώστε να περιστρέφει διαπιστευτήρια μετά από κάθε checkout.
8. Καμία ροή εργασίας έγκρισης για ευαίσθητα στοιχεία
Πρόβλημα: Οποιοσδήποτε διαχειριστής μπορεί να αποκτήσει πρόσβαση σε οποιοδήποτε διακομιστή ανά πάσα στιγμή χωρίς να γνωρίζει ή να εγκρίνει κάποιος άλλος.
Κίνδυνος: Η πλευρική κίνηση από έναν insider threat ή παραβιασμένο λογαριασμό διαχειριστή δεν ελέγχεται. Τυχαίες αλλαγές σε κρίσιμα συστήματα δεν έχουν έλεγχο δεύτερου ζεύγους ματιών.
Διόρθωση: Εφαρμόστε ροές εργασίας έγκρισης για τα πέντε πιο ευαίσθητα στοιχεία παραγωγής σας. Οι αιτήματα πρόσβασης απαιτούν τεκμηριωμένη έγκριση από έναν δεύτερο εξουσιοδοτημένο άτομο πριν από την έναρξη της συνεδρίας. Το VaultPAM καταγράφει το αίτημα, την έγκριση και κάθε ενέργεια που εκτελέστηκε κατά τη διάρκεια της εγκεκριμένης συνεδρίας.
9. Προεπιλεγμένα ονόματα λογαριασμού διαχειριστή (Administrator, admin, root)
Πρόβλημα: Οι διακομιστές σας χρησιμοποιούν τα προεπιλεγμένα ενσωματωμένα ονόματα λογαριασμού διαχειριστή.
Κίνδυνος: Οι επιθέσεις credential-stuffing στοχεύουν τα προεπιλεγμένα ονόματα λογαριασμού επειδή είναι προβλέψιμα. Κάθε διακομιστής Windows έχει έναν λογαριασμό Administrator· οι επιτιθέμενοι γνωρίζουν να τον δοκιμάσουν πρώτα.
Διόρθωση: Μετονομάστε το ενσωματωμένο λογαριασμό Windows Administrator σε όλους τους διακομιστές. Στο Linux, απενεργοποιήστε την άμεση σύνδεση SSH root (PermitRootLogin no στο sshd_config). Δημιουργήστε ονομαστικούς διοικητικούς λογαριασμούς για νόμιμη χρήση. Αποθηκεύστε διαπιστευτήρια σε ένα θησαυρό.
10. Κανένα timeout σε αδρανείς συνεδρίες
Πρόβλημα: Οι συνεδρίες RDP παραμένουν ενεργές επ' αόριστον όταν ο χρήστης αποχωρεί από το γραφείο του χωρίς να κλειδώσει ή να αποσυνδεθεί.
Κίνδυνος: Μια ενεργή συνεδρία χωρίς παρακολούθηση είναι ένας ανοιχτός πόρος. Η φυσική tailgating ή η απομακρυσμένη πρόσβαση στο σταθμό εργασίας του διαχειριστή δίνει πλήρη πρόσβαση σε κάθε σύστημα στο οποίο συνδέεται ο διαχειριστής.
Διόρθωση: Διαμορφώστε πολιτικές timeout συνεδρίας — αποσυνδέστε αδρανείς συνεδρίες μετά από 15 λεπτά, αποσυνδεθείτε αποσυνδεμένες συνεδρίες μετά από 30 λεπτά. Επιβάλετε και στο επίπεδο του πελάτη (GPO) και στο επίπεδο του διακομιστή. Το VaultPAM επιβάλει timeout συνεδρίας στο στρώμα PAM ανεξάρτητα από τη διαμόρφωση του πελάτη.
11. Πρόσβαση μόνο μέσω VPN (χωρίς στρώμα PAM)
Πρόβλημα: Το μοντέλο ελέγχου πρόσβασης σας είναι: "αν είστε στο VPN, μπορείτε να κάνετε RDP σε οποιοδήποτε διακομιστή έχετε διαπιστευτήρια."
Κίνδυνος: Το VPN είναι έλεγχος πρόσβασης στο επίπεδο δικτύου. Δεν περιορίζει σε ποιους διακομιστές μπορεί να φτάσει ένας χρήστης, δεν επιβάλλει αρχή του ελάχιστου προνομίου, δεν καταγράφει συνεδρίες και δεν απαιτεί MFA ανά συνεδρία. Ένα παραβιασμένο διαπιστευτήριο VPN δίνει σε έναν επιτιθέμενο πρόσβαση σε ολόκληρο το εσωτερικό δίκτυό σας.
Διόρθωση: Προσθέστε ένα στρώμα PAM πάνω στο VPN (ή αντικαταστήστε εντελώς την πρόσβαση βασισμένη σε VPN). Οι χρήστες αυθεντικοποιούνται στη λύση PAM, η οποία επιβάλλει πρόσβαση βασισμένη σε πολιτική σε συγκεκριμένα στοιχεία, απαιτεί MFA και καταγράφει κάθε συνεδρία. Τα διακομιστές στοχευόμενων δεν είναι προσβάσιμοι από το VPN — μόνο από τον connector PAM.
12. Καμία διαδικασία ανασκόπησης πρόσβασης
Πρόβλημα: Τα δικαιώματα προνομιακής πρόσβασης χορηγούνται αλλά δεν αναθεωρούνται ποτέ. Οι χρήστες συσσωρεύουν πρόσβαση στο χρόνο· οι φορτωτές ενδέχεται να διατηρήσουν πρόσβαση για μήνες μετά την αναχώρηση.
Κίνδυνος: Το privilege creep είναι ένα κορυφαίο εύρημα ελέγχου και ένας πραγματικός κίνδυνος ασφάλειας. Τα αδρανή λογαριασμά με προνομιακή πρόσβαση είναι στόχοι υψηλής αξίας — οι επιτιθέμενοι ψάχνουν λογαριασμούς που δεν έχουν συνδεθεί πρόσφατα (κανείς δεν τους παρακολουθεί).
Διόρθωση: Εφαρμόστε μια τριμηνιαία διαδικασία ανασκόπησης πρόσβασης. Εξάγετε την ολοκληρωμένη λίστα προνομιακών λογαριασμών και των δικαιωμάτων πρόσβασής τους. Έχετε έναν καθορισμένο ελεγκτή να επιβεβαιώσει ότι κάθε πρόσβαση είναι ακόμα απαραίτητη και κατάλληλα εφαρμοσμένη. Ανακαλέστε την πρόσβαση που δεν μπορεί να δικαιολογηθεί. Τεκμηριώστε την ανασκόπηση με ημερομηνία, όνομα του ελεγκτή και αποτέλεσμα.
Που να Ξεκινήσετε
Αν προετοιμάζεστε για ένα pentest, δώστε προτεραιότητα στα στοιχεία 1, 2 και 3 πρώτα — είναι τα πιο πιθανά ευρήματα αρχικής πρόσβασης και ο υψηλότερος κίνδυνος. Τα στοιχεία 4, 5 και 6 είναι τα πιο πιθανά ευρήματα μετά την εκμετάλλευση. Τα στοιχεία 7–12 είναι τα πιο συνηθισμένα ευρήματα ελέγχου συμμόρφωσης.
Και τα 12 στοιχεία αντιμετωπίζονται από την ανάπτυξη μιας λύσης PAM. Η λίστα ευρημάτων pentest δεν γίνεται συντομότερη με το χρόνο χωρίς μια — μεγαλώνει καθώς ο περιβάλλον σας αυξάνεται.
Το VaultPAM αντιμετωπίζει και τα 12 αυτά ευρήματα σε μια ενιαία ανάπτυξη μετά το μεσημέρι. Χωρίς δηλώσεις εγκατάστασης παράγοντα. Δεν απαιτούνται αλλαγές τείχους προστασίας. Οι συνεδρίες διαμεσολαβούνται μέσω εξερχόμενων μόνο connectors· η θύρα 3389 παραμένει κλειστή.
Ξεκινήστε Δωρεάν Δοκιμή — δείτε πώς το VaultPAM εξαλείφει τα κορυφαία ευρήματα RDP pentest από το περιβάλλον σας.