web-dev-qa-db-ja.com

オープンRDPのセキュリティリスク(3389)

インターネット経由のRDPアクセスを許可することはセキュリティリスクであるとよく言われます。私の理解では、このロジックは潜在的なハッカーがアクセスを得るためにユーザー名とパスワードをブルートフォースで攻撃するという考えに基づいていると理解しています。たとえば、 この記事 を参照してください。

最近Microsoftに電話をかけてきましたが、RDPプロトコルにはブルートフォースに対する組み込みの保護機能があり、アクセスを試みた回数が多すぎると自動的に無効になるため、これは実際にはセキュリティリスクではないと言われました(ただし、これが実際に事実であることを独立して確認することができませんでした)。いずれにしても、インターネット経由でRDPを介してアクセスできるサーバーには、アカウントロックアウトポリシー(20回失敗するとアカウントをロックアウトする)があると想定できます。

すべてのユーザーがランダムに生成された非常に強力なパスワードを持っていると仮定すると、インターネット経由でRDPを使用してサーバーにアクセスする際の脆弱性はどこにありますか?また、Active Directoryを使用してRADIUSサーバー経由で認証するVPN(別名、特定のサーバーへのRDPに使用しているのと同じユーザーストア)を使用する場合よりも安全性が低くなります。

pS一部の人々は、RDPポートを変更するとセキュリティが向上する可能性があると提案していますが、上記のことを考えると、これは必要でしょうか?セキュリティリスクがある場合、ハッカーの可能性があるユーザーがポートスキャナーを使用して、どのポートISがRDPに使用されているか)を特定できませんでしたか?

1
William

それはすべて、リスクシナリオと、何を防御したいかによって異なります。

RDPにはいくつかのセキュリティ問題があり、これを公開したままにしておくと脅威の表面が拡大するだけです。しかし、それはあなたにとって問題ではないかもしれません。

もう1つの問題は、それらの厄介なADアカウントのパスワードに関するものです。あなたはあなたが作ったすべての点について正しいです。デフォルトのアカウントロックアウトがあり、強力なパスワードを適用するパスワードポリシーを設定できます。これにより、強力なセキュリティ体制が適用されます。

しかし、パスワードはpeopleによって使用されます。 RDPと内部と同じ資格情報を外部で使用することにより、1つの資格情報を取得すると、両方の領域(外部アクセスと内部アクセス)にアクセスできます。資格情報やテクノロジーを分割して入力することにより、詳細な防御を提供します。

このようにして、たとえば、資格情報に対してフィッシングされた場合、攻撃者は自動外部アクセスを取得できません。攻撃者には違反の別の障壁があり、オールアクセスパスがありません。

したがって、はい、一般的なベストプラクティスの観点からは、RDPアクセスの上に追加の認証レイヤーを配置することは理にかなっています。

3
schroeder