中文 (中国)
English
RDP Remote Desktop Connection là gì?
RDP là một giao thức độc quyền do Microsoft Corporation phát triển, cung cấp cho người dùng giao diện đồ họa để kết nối với máy tính khác qua kết nối mạng. Người dùng sử dụng phần mềm máy khách RDP cho mục đích này, trong khi máy tính kia phải chạy phần mềm máy chủ RDP. Hiện nay, tất cả các phiên bản Windows GUI đều được cài đặt sẵn RDP.
Mùa Covid-19 vừa rồi là dịp để các bạn xem lại trách nhiệm helpdesk của mình với các server và cả mô hình WFH mà thoạt đầu trông có vẻ là trend và khiến mọi người rất hào hứng (vừa làm vừa nghỉ ngơi ở nhà…vừa được nhận lương full 🙂 )
Tham khảo dịch vụ VPS giá rẻ, sử dụng IPv4 riêng để Remote Desktop
Thế nhưng các helpdesk chúng ta lại quên mất một mối họa tiềm ẩn phát xuất từ sự yếu kém và lỏng lẻo trong việc bảo vệ một giao thức rất phổ biến đó là RDP. Hệ quả là ransomware đã có 1 cơ hội tuyệt vời để tiếm quyền quản trị, lây nhiễm hàng loạt các máy tính khác. Nghe có vẻ nực cười nhưng các bạn có biết khi ransomware tiếm quyền được 1 máy tính, nó sẽ KHÔNG KÍCH HOẠT ngay mà nó sẽ nằm chờ thời cơ và nghe ngóng tất cả các input của user và đặc biệt là anh chàng helpdesk log bằng tài khoản domain có quyền cao hơn user thường. Giai đoạn này gọi là Payload. Mục đích của ransomware là chiếm đoạt tài khoản quản trị để thả các đoạn mã và kích hoạt nó lên các máy tính trong cùng mạng LAN.
Các bạn có nhận thấy từ khi có phong trào WFH, ransomware đã tăng đáng kể không?
Quay lại RDP. Thật không may, RDP là công cụ rất phổ biến để helpdesk nhà mình remote vào server nhưng hãy tự hỏi các bạn đã làm điều này chưa nhé.
Các lỗi chết người thường gặp phải khi sử dụng Remote Desktop Connection
- Sử dụng mật mã bao gồm chữ, số, ký tự đặc biệt, viết Hoa và viết thường, dài hơn 8 ký tự?
- Bạn có dùng MFA cho RDP chưa? (con nhà giàu 🙂 )
- Bạn có bật tính năng NLA cho RDP chưa (Hầu hết helpdesk nhà mình bỏ qua vì rối rắm quá)
- Bạn có giới hạn RDP cho những helpdesk có thẩm quyền chưa? (Trong GPEdit.msc, mục Allow logon…)
- Bạn có đổi port 3389 thành port khác chưa? Càng khác càng tốt.
- Bạn có bật firewall mode on ở profile Domain chưa? (Hầu hết helpdesk nhà mình tắt luôn hoặc để 3rd AntiVirus làm)
- Mode firewall này là advance mode nhé các bạn, ở mode advance, mình mới set được connection security rule (CSR).
- Mình không đề cập profile Public và Private vì nó không nằm trong phạm vi thảo luận.
- Bạn có dung IPSec cho RDP chưa? Thật ra thì cái này không cần thiết lắm. Nếu bạn hiểu biết rõ về IPSec thì có thể làm được. MCSA có dạy bài này, Viễn nhớ 15 năm trước, Viễn đã làm lab trên 2003 rồi dùng Pre-shared key
- Bạn có Public dịch vụ RDP ra ngoài Internet chưa? CHẮC CHẮN là helpdesk nhà mình làm hoài luôn! Đã vậy còn không thèm đổi port 3389 nữa. Đây chính là nguyên nhân mà ransomware đã bruteforce 24/7 đến khi tìm được password của helpdesk (ví dụ pass là toimongchoyem J)
- Nếu phải public RDP ra ngoài Internet, các bạn đã triển RDP Gateway chưa? Ở VN, RDP Gateway rất hiếm khi được nhắc đến vì hầu hết tính an toàn của nó bị…bỏ qua. Đáng tiếc!
- Bạn có giới hạn RDP cho những workstation riêng mà IT sử dụng chưa? Những workstation khác sẽ không được remote desktop vào server? Hầu hết helpdesk nhà mình không hề làm việc này. Hãy nghĩ đến điều này, giả sử ransomware bắt được tài khoản của helpdesk trên máy của user nhưng họ cũng không thể remote vào server để thả độc nhưng nếu họ vào được thì A4.exe
Trên đây chỉ là 10 điểm mà Viễn tích lũy kinh nghiệm helpdesk bấy lâu về RDP. Mong được sự chia sẻ và hướng dẫn từ các bạn/anh/chị.
Tham khảo: Remote Desktop Protocol https://en.wikipedia.org/wiki/Remote_Desktop_Protocol
Bài viết được sưu tầm từ tác giả Viễn
