10 điều Remote Desktop Protocol an toàn

10 điều Remote Desktop Protocol an toàn

1. Sử dụng mật mã bao gồm chữ, số, ký tự đặc biệt, viết Hoa và viết thường, dài hơn 8 ký tự?

2. Bạn có dùng MFA cho RDP chưa? 

3. Bạn có bật tính năng NLA cho RDP chưa?

4. Bạn có giới hạn RDP cho những helpdesk có thẩm quyền chưa? (Trong GPEdit.msc, mục Allow logon…)

5. Bạn có đổi port 3389 thành port khác chưa? Càng khác càng tốt.

6. Bạn có bật firewall mode on ở profile Domain chưa? (Hầu hết helpdesk nhà mình tắt luôn hoặc để 3rd AV làm)

Mode firewall này là advance mode nhé các bạn, ở mode advance, mình mới set được connection security rule (CSR).
Mình không đề cập profile Public và Private vì nó không nằm trong phạm vi thảo luận.

7. Bạn có dung IPSec cho RDP chưa? Thật ra thì cái này không cần thiết lắm. Nếu bạn hiểu biết rõ về IPSec thì có thể làm được. MCSA có dạy bài này, Viễn nhớ 15 năm trước, Viễn đã làm lab trên 2003 rồi dùng Pre-shared key

8. Bạn có Public dịch vụ RDP ra ngoài Internet chưa? CHẮC CHẮN là helpdesk nhà mình làm hoài luôn! Đã vậy còn không thèm đổi port 3389 nữa. Đây chính là nguyên nhân mà ransomware đã bruteforce 24/7 đến khi tìm được password của helpdesk.

9. Nếu phải public RDP ra ngoài Internet, các bạn đã triển RDP Gateway chưa? Ở VN, RDP Gateway rất hiếm khi được nhắc đến vì hầu hết tính an toàn của nó bị…bỏ qua.

10. Bạn có giới hạn RDP cho những workstation riêng mà IT sử dụng chưa? Những workstation khác sẽ không được remote desktop vào server? Hầu hết helpdesk nhà mình không hề làm việc này. Hãy nghĩ đến điều này, giả sử ransomware bắt được tài khoản của helpdesk trên máy của user nhưng họ cũng không thể remote vào server để thả độc nhưng nếu họ vào được thì A4.exe