Novinky
Bře
16
Autor: Martin Buchta | Vytvořeno: 16.03.2020 13:51:10

Chápeme, že se vám možná ve stávající situaci jevila možnost zřízení přímého přístupu na váš server/stanici z domova prostřednictvím RDP (Remote Desktop Protocol) jako nejjednodušší. Z pohledu bezpečnosti se však jedná o nejméně bezpečný způsob, jak se do firemní sítě dostat. Nechceme vás strašit, ale s největší pravděpodobností se již na dostupném portu 3389 někdo snaží hádat přihlašovací údaje. Pokud cestu dostatečně nezabezpečíte, útočník dříve či později pronikne do vaší sítě. Přesvědčit se o tom můžete v protokolu událostí operačního systému (Windows Log > Security), ve kterém hledejte události s identifikátorem 4625 (Failure Reason: Unknown user name or bad password). Níže uvádíme několik rad, kterými byste se měli řídit, abyste kromě korona krize nemuseli ve své síti řešit ransomware. Zároveň si ukážeme, jak zajistit, abyste měli stanice pod kontrolou i mimo firemní síť a produkty si nadále stahovaly aktualizace detekčních modulů.

Upozornění

Věděli jste?
Aktuální verze produktů (7.x v případě firemních zákazníků a 13 pro domácnosti) dokáží odhalit pokusy o kompromitaci? Modul IDS detekuje nejen útoky na RDP, ale společně s technologií Exploit Blocker dokáže zastavit rovněž pokusy o zneužití SMB protokolu aj.

Máte-li povolen přímý přístup z internetu:

  • Na firewallu ve firmě povolte dostupnost RDP pouze z IP adres, z nichž se připojujete vy.
  • Povolte přístup výhradně uživatelům, kteří to potřebují.
  • Aktivujte lock policy na uživatelské účty, které se mohou vzdáleně připojovat.
  • Vynuťte komplexitu hesla.
  • Pro přihlášení využívejte běžné uživatelské účty, nikoli doménového administrátora.
  • Implementujte dvoufaktorovou autentifikaci na účty, které se mohou k serveru připojovat - například prostřednictvím ESET Secure Authentication.

12 doporučení, jak zabezpečit RDP
Další informace týkající se zabezpečení RDP naleznete v samostatném dokumentu [PDF].

Jak na to jít bezpečněji?

  1. Nepublikujte server do internetu.
  2. Nejprve vytočte VPN spojení do interní sítě, až následně se k němu připojte.
  3. Implementujte výše uvedené restrikce na uživatelské účty.

Budou se produkty ESET aktualizovat mimo firemní síť?

Produkty ESET si ve výchozím nastavení stahují aktualizace detekčních a programových modulů z internetu (aktualizačních serverů ESET). Pro ověření, zda je nutné provádět změny v konfiguraci použijte tabulku níže.

Způsob aktualizace Dopad Řešení
Aktualizuji přímo z internetu žádný Není vyžadována žádná další konfigurace.
Používám Apache HTTP Proxy s aktivní cache nutno ověřit konfiguraci V případě, že máte aktivní možnost Použít přímé spojení, pokud není dostupný proxy server (standardně zapnutá od verze 6.4), není vyžadována další konfigurace.
Používám lokální mirror vysoký Pro stanice, které jsou mimo vaši síť, vytvořte novou politiku. V konfigurační šabloně pro ESET Endpoint propište pomocí černého kolečka všechny hodnoty v sekci Aktualizace. Tím zajistíte aplikování výchozího nastavení aktualizace na stanici a produkt si začne stahovat aktualizace z internetu.

Mohu spravovat stanice pokud jsou mimo firemní síť?

Abyste měli svá zařízení pod kontrolou, i když opustí vaši síť, postačí aby na vaší veřejné IP adrese nebo DNS záznamu naslouchal ESMC Server na portu 2222. Na tento veřejný záznam následně směrujte ESET Management Agenty.

Pokud jste zaměstnancům umožnili práci na jejich zařízeních, pošlete jim instalační skript agenta a následně jim na zařízení nainstalujte vzdáleně bezpečnostní produkt, na který máte zakoupenou licenci.

Produkt ESET Endpoint Security od verze 6.5 dokáže automaticky převzít typ ochrany na základě nastavení ve Windows. V případě, že uživatel svou síť označil jako domácí, automaticky se jeho síť přidá do důvěryhodné zóny. Pokud by však potřeboval vytvořit specifické pravidlo ve firewallu, využít k tomu můžete níže uvedené odkazy: