ايتنا - مرکز ماهر نسبت به امنیت سرویس‌های کنترل از راه دور هشدار داد

در پی بروز حملات متعدد به سرویس «دسترسی از راه دور» سرورهای ویندوزی، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای برای امن سازی این سرویس به مدیران سامانه‌های کامپیوتری، هشدار داد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای دور روز پیش از بروز حملات باج افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد و اعلام کرد: گزارش‌های متعددی از حمله باج‌افزارها (نرم‌افزار مخرب باج گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است.

در این باره این مرکز با اعلام توصیه‌هایی برای امن سازی «سرویس ریموت دسکتاپ – RDP» تاکیده کرده است: با توجه به گزارشات متعدد از حمله باج‌افزارها به سرورهای ویندوزی از طریق سرویس RDP در کشور از اسفندماه سال ۹۵ تاکنون و پیرو اطلاعیه های قبلی مرکز ماهر در این خصوص، لازم است راهبران شبکه نسبت به امن سازی جدی سرورهای خود اقدامات لازم را به عمل آورند.

کاربران سرویس دسترسی از راه دور باید درصورت عدم نیاز، این سرویس را غیرفعال کرده و یا دسترسی به آن را به آدرس‌های IP خاص محدود کنند.

ریموت دسکتاپ چیست؟
برای کنترل و مدیریت یک کامپیوتر از راه دور می‌توان از برنامه‌های مبتنی بر پروتکل Remote Desktop استفاده کرد. در سیستم عامل‌های مبتنی بر مایکروسافت ویندوز از نرم‌افزار پیش‌فرض Remote Desktop Client استفاده می‌شود که باید برای استفاده آن بر بستر اینترنت، چندین مشخصه آن را امن‌سازی کرد تا از دسترسی به آن توسط افراد غیرمجاز جلوگیری شود.

احراز امنیت در ارتباطات راه دور
مرکز ماهر با اعلام مهمترین موارد امن‌سازی مطرح در استاندارد NIST-SP۸۰۰-۴۶r۲ از کاربران این شبکه ها خواست برای احراز امنیت در ارتباطات راه دور ریموت دسکتاپ، این موارد را مورد توجه قرار دهند.

۱. فعال‌سازی Encryption بعد از پروسه Authentication

۲. عدم استفاده از Encryptionهای ضعیف

۳. استفاده از روش‌های احراز اصالت چند عاملی توسط کلمه عبور، توکن، PKI، …

۴. استفاده از سیستم‌عامل‌های امن برای سیستم‌های Server (همچون OpenBSD) که اجازه نصب انواع KeyLoggerها را نمی‌دهند.

۵. در بسیاری از ارتباطات Remote Desktop قابلیت دسترسی به درایوهای کامپیوتر راه دور (Server) توسط Map کردن درایوها در نسخه Client به‌صورت پیش‌فرض فعال است و باید در اکثر موارد که نیازی به چنین قابلیتی نیست آن را غیرفعال کرد.

۶. غیر فعال کردن Printerهای مجازی همچون انواع PDF Generatorها روی سیستم Server

۷. غیر فعال کردن عملگر Paste از روی Clipboard

۸. غیر فعال کردن ScreenShot برای کلاینت‌ها برای جلوگیری از دسترسی بسیاری از Malwareها همچون Zeus به اطلاعات Clipboard و تغییر محتوا یا دسترسی به قسمت‌های حفاظت شده حافظه.

۹. درنظر گرفتن حداقل سطح دسترسی برای کاربران Remote Desktop تاحدی که کاربر نتواند فعالیت‌های خاص مدیر را انجام دهد. از جمله عدم دسترسی به تنظیمات Sharing یا تعریف کاربران جدید و یا دسترسی مستقیم به درایوهای سیستمی ویندوز (\:C) و یا فولدرهای حاوی مشخصات کاربری (C:\Users) و صد البته عدم توانایی اجرای محیط CMD

۱۰. به‌روز نگهداری نسخه سیستم عامل و همچنین به‌روزنگهداری Patchهای سیستم عامل Server

۱۱. به‌روزرسانی مداوم آنتی ویروس نصب شده روی سیستم Server

۱۲. اطمینان از عدم دسترسی کاربر RDP به پنل مدیریتی AntiVirus یا Firewall.

۱۳. شخصی‌سازی قوانین مربوط به ترافیک های Inboundو Outbound در Firewall نصب شده روی سیستم Server.

۱۴. اطمینان از عدم نصب برنامه‌های غیر لازم روی سیستم عامل Server.

۱۵. استفاده از کلمات عبور مستحکم و غیر قابل حدس و حتی الامکان Randomکه به‌صورت مداوم تغییر کنند.

۱۶. محافظت از Remote Desktop Server به‌وسیله یک VPN Server حاوی کلیدهای سفارشی‌سازی شده PKI

۱۷. اطمینان از عدم هرگونه Route غیر لازم بین VPNو سایر Interfaceها.

۱۸. اطمینان از عدم دسترسی کاربر RDP به Page فایل‌های سیستم عامل جهت جلوگیری از نشت اطلاعات حیاتی سیستم عامل.

۱۹. انجام ندادن هرگونه Hibernating یا Suspend در سیستم عامل Server جهت جلوگیری از احتمال باقی ماندن اطلاعات کاربران روی حافظه.