og体育趣讯-你的战斗-拒绝横向移动vs. 动力

2020年4月16日,
og体育趣讯-你的战斗-拒绝横向移动vs. 动力

我一直在拒绝坏人进入你的网络, 如果他们已经进去了, 否认横向运动.  在上次的og体育讲座上, 我提到,我正在观察许多圣骑士哨兵监控站点,只是RDP到所有服务器与真正的域管理管理员ID -就像我们15年前做的那样.

科技讲座的与会者承认,要改掉这些坏习惯很难,因为“我们一直都是这样做的”,而且“这样做很容易”。.   换句话说,由于动力,您正在损害潜在的安全.   要突破近20年的坏习惯,形成一种更安全的运营模式实在太难了.

你确实需要改掉这些坏习惯.

目前的最佳实践是使用远程服务器访问工具(RSAT),并尽可能多地从安全桌面或安全管理服务器授权. 随机地完成你需要完成的任务.

为我剩下的花边新闻, 我将讨论限制网络中的RDP,以帮助您更好地控制对服务器的访问.

如果一个坏人进入并建立了商店,你的RDP客户端(MSTSC.EXE)将是他们的第一个“首选”工具,看看他们能感染你的服务器和窃取数据到什么程度.  我们得阻止他们把他们关起来不让他们看到任何东西直到我们杀了他们.

以下是一些需要记住的事情:

  • VNC就像根本没有安全性.  黑客可以破坏密码,并通过您的网络随意移动.  如果您使用VNC,您必须尽快从您的网络中删除它.
  • 关闭RDP是一个很好的开始, 但是如果你关掉它,然后“在需要的时候打开它”, 它会一直开着.  我一次又一次看到人们“忘记”关闭RDP.  此外,打开和关闭它是一种痛苦,它减慢了我们的工作. 我们需要一些更可靠的东西来限制远程访问.
  • 您可以编程地只允许来自“安全”位置(如og体育办公机器)的RDP连接,以限制对RDP的暴露.  这是一个良好的开端.  而且它是免费的.  然而,如果og体育人员的工作站被感染,那么你仍然放弃了网络.
  • 很多人都拥有微软端点配置管理器(SCCM).  这意味着您拥有双向SCCM远程控制客户端.   最佳实践表明,使用使用不同凭证的替代“RDP”客户机是理想的.  如果您拥有SCCM,考虑使用该客户机并在所有地方关闭RDP.  请记住,SCCM控制台可以独立于SCCM服务器安装,以便更方便地访问.
  • 您可以购买另一个RDP类型的客户端.   来自Solarwinds的Dameware被许多学校使用,而且相当不错.   然后,您可以关闭RDP并使用带外, 替代凭证, RDP访问客户端来做您需要做的事情.
  • 最后,您可以将MFA添加到所有服务器RDP会话以及og体育工作站.  思科DUO在这方面做得很好.   如果我将RDP发送到配置了DUO MFA的服务器或工作站,我将面临DUO MFA代码的挑战.  我甚至可以配置它不要求代码,但只是立即提示我的手机问Y/N DUO访问问题(像GMAIL在你的手机上做的).   此外,我可以将它配置为在RDP和本地登录上有MFA或仅RDP.  我还可以告诉DUO去保护那些试图进入安全模式来破坏我安全的人.   一个设备配置DUO MFA大约需要5分钟,不需要重新启动.   它被绑定到您的AD用户是DUO授权的,因此任何DUO分配的用户都可以访问它.   所有GPO访问规则仍然存在于MFA之上.  DUO是由用户出售的,所以您可以实现MFA的地方越多,您就越安全,也就越容易证明MFA许可所花的钱是合理的.

DUO MFA RDP否认未经授权的横向移动,同时不会对og体育人员或用户造成困难,也不会在完成每个人的工作时浪费大量时间.  此外,也没有手动过程来记住撤消或重做.

然后,坏人会挂在MFA挑战试图远程到任何服务器或MFA保护的工作站(希望是所有的og体育机器和您的所有服务器).

如果你还没有这样做的话, 你得选个安全的, 内部远程访问计划,并承诺关闭RDP攻击矢量在您的网络.

给我们打电话.  我们很乐意帮忙.