10 Tipps für die Absicherung von RDP-Verbindungen

Lange Reihe von Sicherheitslücken in RDP

Das Remote Desktop Protocol ist eine Einlasspforte für Hacker, wenn es vor seinem Einsatz nicht gründlich konfiguriert und gesichert wird. Potentielle Eindringlinge können sich via RDP einen Zugang zum Netzwerk verschaffen, ihre Berechtigungen ausweiten, Ransomware installieren oder auf vertrauliche Daten zugreifen und sie stehlen.

Zusätzlich wird die Arbeit der Security-Teams in den Unternehmen weiter erschwert, weil die Angreifer für ihre Aktivitäten mit RDP einen legitimen Netzwerkdienst nutzen können. So erreichen sie, länger nicht entdeckt zu werden.

Die Probleme sind bekannt. Microsoft hat in der Vergangenheit bereits zahlreiche Sicherheits-Updates für RDP veröffentlicht. Es gibt aber immer noch Schwachstellen in dem früher Terminal Services genannten Dienst. Nicht zuletzt, weil es in den Firmen so weit verbreitet ist, bleibt das RDP-Protokoll ein bei Hackern beliebter Angriffsvektor. Web-Crawler wie Shodan erleichtern es den Eindringlingen zusätzlich, unsicher konfigurierte RDP-Ports sowie verwundbare und von außen erreichbare Maschinen aufzuspüren.

Besonders häufig treten Brute-Force-Attacken gegen RDP auf, bei denen ein Angreifer durch automatisierte Login-Versuche in ein Netzwerk einzudringen versucht. Auch MitM-Attacken (Man-in-the-Middle) werden wiederholt beobachtet.

Erschwerend kommt hinzu, dass viele moderne Malware-Familien wie Ryuk, Sodinokibi oder GandCrab mit zusätzlichen RDP-Modulen erweitert werden können. Beispielsweise basierten sowohl die Ransomware-Attacke gegen die städtische Verwaltung von Baltimore sowie der SamSam-Angriff gegen Atlanta auf Schwächen in der jeweiligen RDP-Umsetzung. Auch die BlueKeep genannte Sicherheitslücke im Remote Desktop Protocol ermöglicht es Angreifern, aus der Ferne mit dem Netzwerk verbundene PCs zu übernehmen, wenn diese noch nicht gepatcht wurden.

Best Practices zur Absicherung von RDP

Aufgrund der genannten Probleme müssen sich alle Unternehmen, die RDP einsetzen, mit den Grundlagen des Protokolls und mit bewährten Maßnahmen zum Beheben der Gefahren beschäftigen. Nur so können sie ihre Netzwerke dauerhaft sichern und ihre Daten vor Angreifern schützen. So sollten zum Beispiel alle RDP-Instanzen mit mehreren Zugriffsebenen sowie einer zwingend erforderlichen Authentifizierung geschützt werden. Empfehlenswert ist es zudem, zusätzlich ein VPN (Virtual Private Network) zu nutzen, um über einen sicheren Tunnel aus der Ferne auf eine RDP-Instanz zugreifen zu können.

Im Folgenden finden Sie Liste an relativ einfach umzusetzenden Maßnahmen zur Absicherung von RDP-Verbindungen, die in der Regel auch keine oder nur geringe Kosten verursachen:

• Aktivieren Sie die automatischen Windows-Updates. Nur so stellen Sie sicher, dass die jeweils aktuellsten Client- und Serverversionen installiert sind. Priorisieren Sie darüber hinaus alle Patches, die bekannt gewordene RDP-Schwächen beheben (Stichwort: BlueKeep).
• Erlauben Sie den Einsatz von RDP nur, wenn starke Passwörter und eine moderne Zwei-Faktor-Authentifizierung eingerichtet wurden.
• Erstellen und setzen Sie Richtlinien um, die dafür sorgen, dass Accounts bei Brute-Force-Attacken automatisch ausgeloggt werden können.
• Ändern Sie den Standard-Port 3389 des RDP-Protokolls auf eine andere Nummer.
• Begrenzen Sie den Zugriff auf den freigegebenen RDP-Port auf Personen, die bekannte und vertrauenswürdige IP-Adressen nutzen. Erlauben Sie nur Verbindungen zu bekannt sicheren Hosts. Das bedeutet, dass ein Server nur dann Verbindungen annehmen darf, wenn die Quelle auf der Liste mit vertrauenswürdigen Adressen steht. Andere Verbindungsversuche müssen automatisch abgelehnt werden.
• Erlauben Sie nur Verbindungen von Rechnern, die den Remote Desktop mit NLA over TLS (Network Level Authentication over Transport Layer Security) unterstützen. In älteren Windows-Versionen ist NLA noch nicht standardmäßig aktiviert. Diese Methode ist besonders hilfreich, wenn Sie MitM-Angriffen ausgesetzt sind, mit denen Zugangsdaten geklaut werden sollen.
• Setzen Sie auf das Prinzip der geringsten benötigten Rechte. Damit sorgen Sie dafür, dass nur Mitarbeiter Zugriff auf Ihre RDP-Dienste bekommen, die sie auch wirklich benötigen. Gewähren Sie also immer nur die absolut nötigen Zugriffsberechtigungen, die für eine Tätigkeit auch wirklich erforderlich sind.
• Setzen Sie VPN-Software ein, so dass entfernte Mitarbeiter sicher auf das Firmennetz zugreifen können, ohne dabei ihre Hard- und Softwareausstattung dem öffentlichen Internet aussetzen zu müssen.
• Überwachen Sie die gesamte RDP-Nutzung mit einer geeigneten Monitoring-Lösung und reagieren Sie auf erstmals aufgetretene Ereignisse und auf ungewöhnliches Verhalten. Das gilt insbesondere für alle misslungenen Login-Versuche.
• Setzen Sie einen RDP-Gateway-Server ein. Er gehört zu allen aktuelleren Versionen von Windows Server. Dadurch erhalten Sie ein externes Interface für Ihre internen RDP-Endpunkte. Ein solches Gateway erleichtert auch das Speichern von Log-Dateien, den Umgang mit TLS-Zertifikaten sowie die Bereiche Authentifizierung und Autorisierung.

Selbst mit einer strengen Passwortrichtlinie und einer vorgeschriebenen Multifaktor-Authentifizierung sollten Ihre RDP-Ports niemals offen zum Internet sein. Dadurch steigt die Gefahr von DoS-Attacken (Denial of Service) und von außen erzwungenen Account-Lockouts erheblich. Suchen und beenden Sie alle RDP-Instanzen in Ihrem Netzwerk, die direkt mit dem Internet verbunden sind. Das gilt auch dann, wenn Sie die in diesem Beitrag vorgestellten Maßnahmen zum Schutz Ihrer RDP-Verbindungen schon umgesetzt haben.

Selbst wenn Sie RDP überhaupt nicht benötigen, sollten Sie immer wieder regelmäßig prüfen, ob das Protokoll nicht doch ohne Ihr Wissen genutzt wird. Nur so können Sie sicherstellen, dass alle für RDP genutzten Ports auch wirklich geschlossen bleiben. RDP stammt zwar aus der Microsoft-Welt, das Protokoll kann aber auch auf Apple-Geräten sowie auf Systemen mit Linux oder Android installiert werden.