W ostatnich dniach obserwujemy wzmożone skanowanie portów RDP na naszych serwerach. Powodem zaistniałej sytuacji jest krytyczna luka w systemach Windows oznaczona CVE 2020 1472, nazywana również zerologon. Podatność dotyczy protokołu uwierzytelniania Windows Netlogon, która umożliwia przejęcie kontroli nad całą domeną Active Directory.
W celu zminimalizowania zagrożenia rekomendujemy zastosowanie jednego z rozwiązań:
1. Wykonanie aktualizacji serwerów z systemem operacyjnym Windows Server, przed aktualizacją zalecamy wykonanie migawki kontrolnej serwera, aby przy ewentualnym niepowodzeniu aktualizacji przywrócić serwer do stanu sprzed aktualizacji. Instalację zalecamy bez względu na to, czy na serwerze zainstalowana jest rola Active Directory.
2. Jeżeli serwer musi być dostępny z sieci publicznej zalecamy zmianę portu RDP na losowy, utworzenie dodatkowego konta administracyjnego i zablokowanie kont domyślnych. Polecamy generować skomplikowane hasła dla użytkowników, minimum 12 znakowe wraz z znakami specjalnymi, cyframi, dużymi i małymi literami. Dodatkowo przy publicznie dostępnym serwerze wysoce zalecane jest ograniczenie dostępu do RDP na poziomie zapory ogniowej tylko dla konkretnych ustalonych adresów IP.
3. Kolejnym rozwiązaniem, które warto zastosować to tunel VPN. W ofercie NSIX dostępne są certyfikaty, które można zainstalować na serwerze oraz końcówkach klienckich. Po instalacji należy zablokować dostęp do RDP oraz innych wrażliwych usług, które nie powinny być dostępne z poziomu sieci publicznej. Możliwe jest również uruchomienie własnego serwera VPN, który będzie umożliwiał dostęp do serwera prywatnym szyfrowanym tunelem.
4. Alternatywą dla certyfikatów jest uruchomienie wirtualnego routera, który daje możliwość kontroli połączeń, śledzenia podejrzanego ruchu, konfigurację routingu oraz uruchomienia usługi VPN. Jest to droższa opcja w stosunku do certyfikatów VPN ale dająca zdecydowanie więcej możliwości.
5. Pamiętajmy o wykonywaniu i sprawdzaniu kopii zapasowych, w sytuacji gdy ktoś uzyska nieuprawniony dostęp do naszego serwera niejednokrotnie jedyną opcją jest odzyskanie kopii zapasowej. W NSIX Data Center kopie serwerów wirtualnych wykonywane są codziennie. Do 3 dni wstecz są wykonywane zupełnie bezpłatnie, dla Klientów wymagających dłuższej retencji danych w ofercie mamy rozszerzenie harmonogramu kopii zapasowej do 14 dni.
Podsumowując, zagrożenie jest bardzo duże a możliwości zabezpieczenia jest co najmniej kilka. Jeżeli nie wiesz jakie zabezpieczenie wybrać lub wolisz zlecić to profesjonalistom zapraszamy do kontaktu z naszym wsparciem technicznym. Oszacujemy jakie rozwiązanie jest najlepsze, zabezpieczymy system oraz dobierzemy usługi minimalizujące podobne zagrożenia w przyszłości.