Lista de verificare a auditului de securitate RDP: 12 lucruri de remediat înainte de următorul pentest
RDP (Remote Desktop Protocol) apare în faza de acces inițial a aproape fiecărui incident major de ransomware. Portul 3389 expus, credențiale slabe, fără MFA — atacatorii cunosc scenariul. Următorul test de penetrare va identifica aceste probleme dacă nu le-ați rezolvat deja. Această listă de verificare vă spune exact ce trebuie remediat și cum.
Lista de verificare cu 12 articole
Lucrați în ordinea indicată. Articolele 1–3 sunt critice; adresați-le înainte de orice altceva.
1. Port RDP expus (3389) direct pe internet
Problemă: Serverele Windows acceptă conexiuni RDP pe portul 3389 din internetul public.
Risk: Atacatorii scanează continuu pentru portul 3389 deschis. În termen de ore de la lansarea unui nou server, acesta primește atacuri de forță brută și atacuri de credential stuffing. Acesta este cel mai frecvent vector de acces inițial al ransomware-ului în mediile enterprise.
Remediere: Eliminați regula de firewall care permite intrări 3389 din internet. Accesați serverele Windows doar printr-o soluție PAM (cum ar fi VaultPAM) care brokerizează sesiunea — portul RDP rămâne închis pe server, iar conexiunea se stabilește în exterior prin connector.
2. Credențiale de administrator partajate pe mai multe servere
Problemă: Echipa dumneavoastră utilizează un cont Administrator partajat (sau admin, sau un singur cont numit) pe mai multe servere, iar mai mulți oameni cunosc parola.
Risk: Când plecă o persoană, vă confruntați cu alegerea imposibilă de a roti parola și de a deranja toți ceilalți, sau de a lăsa accesul fostului angajat intacț. Când aveți un incident, nu puteți determina cine a efectuat ce acțiune, deoarece toată activitatea este atribuită unui cont partajat.
Remediere: Treceți la conturi individuale cu nume pentru toate accesele privilegiate. Utilizați un seif de credențiale pentru a stoca și rota automat credențialele serverelor. Utilizați brokerage sesiunilor, astfel încât utilizatorii să se conecteze fără a primi parola efectivă — seifu o deține.
3. Fără MFA pe conturile privilegiate
Problemă: Administratorii se autentifică la sisteme de producție doar cu nume de utilizator și parolă.
Risk: Un singur e-mail de phishing, o scurgere de credențiale sau o parolă refolosită acordă unui atacator acces complet de administrator. MFA este controlul cu cel mai mare impact pentru oprirea atacurilor bazate pe credențiale.
Remediere: Impuneți TOTP (Google Authenticator, Authy) sau tokeni hardware (YubiKey, Touch ID, Windows Hello) pentru fiecare cont privilegiat. Verificați aplicarea — documentele de politică nu sunt suficiente; demonstrați că o încercare de conectare fără MFA este respingă.
4. Fără înregistrare sesiunilor
Problemă: Când au loc sesiuni privilegiate, nu există nicio înregistrare a ceea ce s-a întâmplat în sesiune.
Risk: Forenzica post-incident este imposibilă. Auditorii nu pot verifica ce acțiuni au fost efectuate. Amenințările din interior nu lasă nicio urmă de dovezi. Atacatorii ransomware care abuzează de credențiale de administrator nu pot fi urmăriți dincolo de evenimentul de conectare.
Remediere: Rutați toate sesiunile privilegiate printr-o soluție PAM care înregistrează videoul sesiunilor complete și jurnalele de activitate (comenzi executate, fișiere transferate, conținut clipboard). Stocați înregistrările cu integritate anti-manipulare (lanțuri hash) timp de cel puțin 12 luni.
5. Privilegii de administrator permanente (fără acces JIT)
Problemă: Administratorii au acces privilegiat 24/7/365 la sisteme de producție, chiar și atunci când nu efectuează o sarcină administrativă.
Risk: Un atacator care compromite o stație de lucru sau credențialele unui administrator are acces imediat și persistent la producție. Suprafața de atac este întotdeauna maximă.
Remediere: Implementați accesul Just-in-Time (JIT). Privilegiile sunt acordate pentru o sarcină și o fereastră de timp specifice, apoi sunt revocate automat. Între sarcini, contul nu are acces privilegiat — sau nu are deloc cont activ.
6. Fără transfer de jurnal de audit
Problemă: Jurnalele evenimentelor serverului (Windows Event Log, Linux auth log) rămân pe server, unde pot fi șterse de un atacator care obține acces administrativ.
Risk: Un atacator cu acces de administrator poate șterge jurnalele și șterge dovezile prezenței sale. În timpul răspunsului la incident, datele forenzice critice pot lipsi.
Remediere: Transferați toate evenimentele de acces privilegiat către un SIEM centralizat sau un depozit de jurnale imuabil imediat după generare. Asigurați-vă că transferatorul de jurnale rulează ca serviciu care nu poate fi oprit fără a declanșa o alertă.
7. Credențiale nerotite în seifuri partajate sau foi de calcul
Problemă: Parolele de producție sunt stocate într-o foaie de calcul partajată, un manager de parole partajat cu mai mulți utilizatori sau un instrument de documentare IT — și nu au fost rotite de luni sau ani de zile.
Risk: Fiecare persoană care a avut vreodată acces la acea foaie de calcul sau la managerul de parole este o amenințare potențială. Credențialele partajate în text simplu sunt credențiale care vor scurge în cele din urmă.
Remediere: Mutați toate credențialele de producție la un seif cu rotație automată. Stabiliți programe de rotație corespunzătoare sensibilității (zilnic pentru conturile critice de producție, săptămânal pentru altele). Configurați seifu să rotească credențialele după fiecare checkout.
8. Fără workflow de aprobare pentru ținte sensibile
Problemă: Orice administrator poate accesa orice server în orice moment fără ca al doilea administrator să știe sau să aprobe.
Risk: Mișcarea laterală de un atacator din interior sau de un cont de administrator compromis este neverificată. Modificările accidentale la sisteme critice nu au control cu o a doua pereche de ochi.
Remediere: Implementați workflowuri de aprobare pentru cele cinci ținte de producție cele mai sensibile. Cererile de acces necesită aprobarea documentată de o a doua persoană autorizată înainte de începerea sesiunii. VaultPAM înregistrează cererea, aprobarea și fiecare acțiune efectuată în timpul sesiunii aprobate.
9. Nume de conturi admin implicite (Administrator, admin, root)
Problemă: Serverele dumneavoastră utilizează nume de conturi de administrator încorporate implicite.
Risk: Atacurile de credential stuffing vizează nume de conturi implicite, deoarece sunt previzibile. Fiecare server Windows are un cont Administrator; atacatorii știu să încercuie mai întâi.
Remediere: Redenumim contul Administrator încorporat pe toate serverele. Pe Linux, dezactivați conectarea SSH directă la root (PermitRootLogin no în sshd_config). Creați conturi administrative cu nume pentru utilizare legitimă. Stocați credențialele într-un seif.
10. Fără timeout pentru sesiunile inactive
Problemă: Sesiunile RDP rămân active la nesfârșit atunci când utilizatorul se îndepărtează de birou fără a blocca sau deconecta.
Risk: O sesiune activă nesupraveghată este o ușă deschisă. Accesul fizic prin tailgating sau acces la distanță la stația de lucru a administratorului acordă acces complet la fiecare sistem la care se conectează administratorul.
Remediere: Configurați politici de timeout de sesiune — deconectați sesiunile inactive după 15 minute, deconectați sesiunile deconectate după 30 de minute. Aplicați la nivelul client (GPO) și la nivelul serverului. VaultPAM aplică timeout-urile de sesiune la nivelul PAM indiferent de configurația clientului.
11. Controlul accesului doar VPN (fără strat PAM)
Problemă: Modelul de control al accesului este: "dacă sunteți pe VPN, puteți RDP la orice server pentru care aveți credențiale."
Risk: VPN este controlul accesului la nivelul rețelei. Nu restricționează la ce servere poate ajunge un utilizator, nu aplică cel mai mic privilegiu, nu înregistrează sesiuni și nu necesită MFA per sesiune. O credențială VPN compromisă acordă unui atacator acces la întreaga rețea internă.
Remediere: Adăugați un strat PAM deasupra VPN (sau înlocuiți complet accesul bazat pe VPN). Utilizatorii se autentifică la soluția PAM, care aplică accesul bazat pe politică la ținte specifice, necesită MFA și înregistrează fiecare sesiune. Serverele țintă nu sunt accesibile din VPN — doar din connectorul PAM.
12. Fără proces de revizuire a accesului
Problemă: Drepturile de acces privilegiat sunt acordate, dar nu sunt revizuite niciodată. Utilizatorii acumulează acces în timp; cei care plecă pot reține accesul timp de luni după plecare.
Risk: Crescerea privilegiilor este o constatare de audit de top și un risc de securitate real. Conturile inactive cu acces privilegiat sunt ținte de valoare mare — atacatorii caută conturi care nu s-au conectat recent (nimeni nu supraveghează).
Remediere: Implementați un proces de revizuire a accesului trimestrial. Exportați lista completă de conturi privilegiate și drepturile lor de acces. Lăsați un revisor desemnat să confirme că fiecare acces este încă necesar și în scop potrivit. Revocați accesul care nu poate fi justificat. Documentați revizuirea cu dată, nume revisor și rezultat.
De unde să începeți
Dacă vă pregătiți pentru un pentest, acordați prioritate mai întâi articolelor 1, 2 și 3 — sunt constatările de acces inițial cel mai probabile și riscul cel mai mare. Articolele 4, 5 și 6 sunt constatările post-exploatare cel mai probabile. Articolele 7–12 sunt constatările de audit de conformitate cel mai frecvente.
Toate cele 12 articole sunt abordate prin implementarea unei soluții PAM. Lista constatărilor din pentest nu devine mai scurtă cu trecerea timpului fără una — devine mai lungă pe măsură ce mediul dumneavoastră se extinde.
VaultPAM abordează toate aceste 12 constatări într-o implementare de o singură după-amiază. Niciun agent de instalat. Nicio modificare de firewall necesară. Sesiunile sunt brokerizate prin conectori doar în sens invers; portul 3389 rămâne închis.
Începeți versiunea de probă gratuită — vedeți cum VaultPAM elimină principalele constatări din pentest RDP din mediul dumneavoastră.