Oli

Blog - So schützen Sie RDP vor Ransomware-Angriffen

Recommended Posts

Wie in dem Blog-Beitrag schon richtig geschrieben wurde bringt das Ändern des RDP-Ports in heutiger Zeit nichts mehr. Das war damals ein guter Rat. Heute, wenn es jemand auf einen Server etc. abgesehen hat, werden alle Ports gescannt.

Was mich wundert ist, dass nicht gesagt wurde, dass der RDP-Zugang kein Administrator-Konto sein sollte. Somit, sollte doch jemand RDP-Zugriff erhalten, kann er erstmal weniger anrichten, da er nur Benutzer- statt Adminrechte hat.

Zudem würde ich den Standard Admininstrator nicht benutzen, sondern einen eigenen Admin einrichten bei dessen Name nicht auf einen Account mit Adminrechten geschlossen werden kann.
Also alles im Namen was Admin auch nur irgendwie beinhaltet vermeiden.
Dem Standard Administrator dann zum einen deaktivieren (Achtung, kein richtiger Schutz!) und wenn möglich löschen oder ihm nur Benutzerrechte zuweisen.

Alle Zugriffs-Versuche die durch Dritte stattfinden benutzen auch standardmäßig die am häufigsten vorkomnmenden Namen die Admin beinhalten. Allem voran der Standard Administrator!

Wir verwenden in der Firma einen gemieteten Windows-Server der bei einem Hoster steht, da kann man nur per RDP drauf zugreifen - das geht aus Hostersicht schon garnicht anders.
Sicherlich, man kann ihn besser absichern...
Ich verzeichne täglich mehrere RDP-Zugriffsversuche darauf, aber es bleibt eben bei den Versuchen.
Da habe ich mir am Anfang eher Gedanken gemacht, jetzt aber nicht mehr.

Den Server habe ich nicht eingerichtet!
Wir müssen es so einfach halten da wir darauf eine Software laufen haben die von einem Dienstleister bereitgestellt und gewartet wird, welche wir täglich nutzen.
Da bringt es mir relativ wenig, wenn ich einen RDP-Zugang für einen normalen Benutzeraccount einrichte und man dann, sobald man als Benutzer drauf ist, beijeder Einstellung die Admindaten eingeben muss.
Dafür hat man mit einem der Konten nicht gleich auf alles (aber zu vielem!) Zugriff. Z.B. die Datenbank hat wieder einen anderen Admin-Account und kann nicht mit jedem Admin-Account aufgerufen werden!
Ich rate denoch von dieser Konstellation ab!

Die Emsisoft Cloud habe ich noch garnicht so oft benutzt um zu sehen wieviele Warn-Meldungen darüber zu RDP angezeigt werden.
Das habe ich mir aber heute angesehen und tatsächlich kam zu RDP die Hinweismeldung.
Habe dann doch ein paar Sicherheitseinstellungen auf dem Server vorgenommen und werde das beobachten.

Und es gibt ja noch andere Möglichkeiten außer RDP mit demselben Ergebnis.
Wir verwenden eine Hardware-Firewall, die von einem Dienstleister gewartet wird.
Mit z.B. TeamViewer etc. kann man sich aber dennoch von Außen verbinden.
Jetzt müsste ich schauen - um nichts falsches zu sagen - aber ich glaube nicht, dass dafür eine Rule eingetragen wurde, denn wir verwenden nicht ausschl. TV!

Da solche Themen für mich sehr interessant sind, habe ich mich in der Vergangenheit intensiver damit, und wie man Gegenmaßnahmen einleiten kann, beschäftigt.

Share this post


Link to post
Share on other sites

Hallo,

Vielen Dank für den wertvollen Kommentar. Ich gebe den mal weiter um zu sehen, ob unser technischer Support das was anhängen möchte.

Claude Bader

Share this post


Link to post
Share on other sites

Hallo,

Ich möchte dies anfügen von unserer Technik:

Es ist nicht (war nicht) so schwierig, Benutzernamen von einem Windows Server zu erhalten. Das Verschleiern von Benutzernamen ist daher keine gute Verteidigung bei SMB / NetBIOS.

Die anderen Massnahmen sind eine sehr gute Idee.

Claude

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.