artiemedvedev - stock.adobe.com
Tipps für die Absicherung von RDP-Verbindungen
Der Schutz von Remote-Verbindungen zwischen mobilen Anwendern und dem Unternehmensnetz ist eine wichtige Aufgabe. Folgende Tipps zeigen, wie man RDP-Verbindungen richtig sichert.
In vielen Unternehmen haben sich die Arbeitsweisen grundlegend geändert. Flexible Arbeitsorte gehören heute für zahlreiche Anwender zum Alltag. Je nach Situation kommt in einigen Unternehmen zum Zugriff auf entfernte Rechner das Remote Desktop Protocol (RDP) zum Einsatz. Dieses von Microsoft entwickelte proprietäre Protokoll ist in allen aktuellen Windows-Versionen enthalten. Es ermöglicht Fernverbindungen zu anderen Computern. Dazu öffnet RDP einen lokalen Socket, der eingehende authentifizierte Verbindungsversuche auf Port 3389 annimmt. So kann ein Anwender über eine verschlüsselte Netzwerkverbindung auf einem entfernten Computer arbeiten. Netzwerk-Admins nutzen RDP zum Beispiel, um an einer anderen Stelle im Unternehmen untergebrachte Server aus der Ferne zu administrieren. Normale Mitarbeiter verwenden es dagegen meist, um sich in das Firmennetz ihrer Organisation einzuloggen und um zum Beispiel remote auf ihre E-Mails oder beruflich benötigte Dateien zuzugreifen.
Das Remote Desktop Protocol wird jedoch seit Jahren von zahlreichen Sicherheitsproblemen geplagt. Der Schutz von RDP-Verbindungen gehört deswegen schon seit einiger Zeit zu den drängendsten IT-Aufgaben in einem Unternehmen.
RDP und die Sache mit den Sicherheitslücken
Wenn RDP vor der Verwendung nicht ordnungsgemäß gesichert wird, kann es für Hacker zu einem Einfallstor werden, um im Netzwerk Fuß zu fassen, Berechtigungen zu erweitern, Ransomware zu installieren oder auf vertrauliche Informationen zuzugreifen und diese zu stehlen. Leider ist es für Angreifer einfacher, sich unauffällig zu verhalten und unentdeckt zu bleiben, wenn sie einen legitimen Netzwerkdienst nutzen (siehe auch Wie ein Angriff über das Remote-Desktop-Protokoll abläuft).
Die Probleme sind bekannt. Microsoft hat in der Vergangenheit bereits zahlreiche Sicherheits-Updates für RDP veröffentlicht. Es gibt aber immer noch Schwachstellen in dem früher Terminal Services genannten Dienst. Nicht zuletzt, weil es in den Firmen so weit verbreitet ist, bleibt das RDP-Protokoll ein bei Hackern beliebter Angriffsvektor. Web-Crawler wie Shodan erleichtern es den Eindringlingen zusätzlich, unsicher konfigurierte RDP-Ports sowie verwundbare und von außen erreichbare Maschinen aufzuspüren.
Besonders häufig treten Brute-Force-Attacken gegen RDP auf, bei denen ein Angreifer durch automatisierte Login-Versuche in ein Netzwerk einzudringen versucht. Auch MitM-Attacken (Man-in-the-Middle) werden wiederholt beobachtet. Erschwerend kommt hinzu, dass viele moderne Malware-Familien wie Ryuk, Sodinokibi oder GandCrab mit zusätzlichen RDP-Modulen erweitert werden können. Beispielsweise basierten sowohl die Ransomware-Attacke gegen die städtische Verwaltung von Baltimore sowie der SamSam-Angriff gegen Atlanta auf Schwächen in der jeweiligen RDP-Umsetzung. Auch die BlueKeep genannte Sicherheitslücke im Remote Desktop Protocol ermöglicht es Angreifern, aus der Ferne mit dem Netzwerk verbundene PCs zu übernehmen, wenn diese noch nicht gepatcht wurden.
Best Practices zur Absicherung von RDP
Aufgrund der genannten Probleme müssen sich alle Unternehmen, die RDP einsetzen, mit den Grundlagen des Protokolls und mit bewährten Maßnahmen zum Beheben der Gefahren beschäftigen. Nur so können sie ihre Netzwerke dauerhaft sichern und ihre Daten vor Angreifern schützen. So sollten zum Beispiel alle RDP-Instanzen mit mehreren Zugriffsebenen sowie einer zwingend erforderlichen Authentifizierung geschützt werden. Empfehlenswert ist es zudem, zusätzlich ein VPN (Virtual Private Network) zu nutzen, um über einen sicheren Tunnel aus der Ferne auf eine RDP-Instanz zugreifen zu können.
Im Folgenden finden Sie Liste an relativ einfach umzusetzenden Maßnahmen zur Absicherung von RDP-Verbindungen, die in der Regel auch keine oder nur geringe Kosten verursachen:
- Aktivieren Sie die automatischen Windows-Updates. Nur so stellen Sie sicher, dass die jeweils aktuellsten Client- und Server-Versionen installiert sind. Priorisieren Sie darüber hinaus alle Patches, die bekannt gewordene RDP-Schwächen beheben (Stichwort: BlueKeep).
- Erlauben Sie den Einsatz von RDP nur, wenn starke Passwörter und eine moderne Zwei-Faktor-Authentifizierung eingerichtet wurden.
- Erstellen und setzen Sie Richtlinien um, die dafür sorgen, dass Accounts bei Brute-Force-Attacken automatisch ausgeloggt werden können.
- Ändern Sie den Standard-Port 3389 des RDP-Protokolls auf eine andere Nummer.
- Begrenzen Sie den Zugriff auf den freigegebenen RDP-Port auf Personen, die bekannte und vertrauenswürdige IP-Adressen nutzen. Erlauben Sie nur Verbindungen zu bekannt sicheren Hosts. Das bedeutet, dass ein Server nur dann Verbindungen annehmen darf, wenn die Quelle auf der Liste mit vertrauenswürdigen Adressen steht. Andere Verbindungsversuche müssen automatisch abgelehnt werden.
- Erlauben Sie nur Verbindungen von Rechnern, die den Remote Desktop mit NLA over TLS (Network Level Authentication over Transport Layer Security) unterstützen. In älteren Windows-Versionen ist NLA noch nicht standardmäßig aktiviert. Diese Methode ist besonders hilfreich, wenn Sie MitM-Angriffen ausgesetzt sind, mit denen Zugangsdaten geklaut werden sollen.
- Setzen Sie auf das Prinzip der geringsten benötigten Rechte. Damit sorgen Sie dafür, dass nur Mitarbeiter Zugriff auf Ihre RDP-Dienste bekommen, die sie auch wirklich benötigen. Gewähren Sie also immer nur die absolut nötigen Zugriffsberechtigungen, die für eine Tätigkeit auch wirklich erforderlich sind.
- Setzen Sie VPN-Software ein, so dass entfernte Mitarbeiter sicher auf das Firmennetz zugreifen können, ohne dabei ihre Hard- und Software-Ausstattung dem öffentlichen Internet aussetzen zu müssen.
- Überwachen Sie die gesamte RDP-Nutzung mit einer geeigneten Monitoring-Lösung und reagieren Sie auf erstmals aufgetretene Ereignisse und auf ungewöhnliches Verhalten. Das gilt insbesondere für alle misslungenen Login-Versuche.
- Setzen Sie einen RDP-Gateway-Server ein. Er gehört zu allen aktuelleren Versionen von Windows Server. Dadurch erhalten Sie ein externes Interface für Ihre internen RDP-Endpunkte. Ein solches Gateway erleichtert auch das Speichern von Log-Dateien, den Umgang mit TLS-Zertifikaten sowie die Bereiche Authentifizierung und Autorisierung.
Selbst mit einer strengen Passwort-Richtlinie und einer vorgeschriebenen Multifaktor-Authentifizierung sollten Ihre RDP-Ports niemals offen zum Internet sein. Dadurch steigt die Gefahr von DoS-Attacken (Denial of Service) und von außen erzwungenen Account-Lockouts erheblich. Suchen und beenden Sie alle RDP-Instanzen in Ihrem Netzwerk, die direkt mit dem Internet verbunden sind. Das gilt auch dann, wenn Sie die in diesem Beitrag vorgestellten Maßnahmen zum Schutz Ihrer RDP-Verbindungen schon umgesetzt haben.
Selbst wenn Sie RDP überhaupt nicht benötigen, sollten Sie immer wieder regelmäßig prüfen, ob das Protokoll nicht doch ohne Ihr Wissen genutzt wird. Nur so können Sie sicherstellen, dass alle für RDP genutzten Ports auch wirklich geschlossen bleiben. RDP stammt zwar aus der Microsoft-Welt, das Protokoll kann aber auch auf Apple-Geräten sowie auf Systemen mit Linux oder Android installiert werden.