ช่วงนี้ Ransomware ระบาดหนัก ซึ่งการระบาดนั้น ไม่ได้ผ่านการส่ง email ให้กับ Client เท่านั้น ยังมีการโจมตี Remote Desktop ด้วยวิธีการ Brute Force (การเดารหัสผ่าน) อีกด้วย ซึ่ง Hacker ไม่ได้สนใจเลยว่าจะใช้เวลานานเท่าไหร่ในการ Brute Force เพราะหากสำเร็จมันจะคุ้มยิ่งกว่าคุ้ม เนื่องด้วยเมื่อ Hacker ได้ username, password ในการเข้าถึงเครื่อง Server ผ่าน Remote Desktop แล้ว สิ่งที่ Hacker จะทำต่อคือการนำ Ransomware มารันเพื่อทำการเรียกค่าไถ่องค์กรเหล่านั้นอีกที ซึ่งช่วงนี้ระบาดหนักมากในไทยครับ จริงๆแล้วถ้าเป็นไปได้ผมคงแนะนำให้ปิดการเข้าถึง Server ใดๆจาก Internet ไปเลย แต่ถ้าทำไม่ได้ล่ะต้องทำยังไงต่อ มาดูกันครับ

  1. ตั้งรหัสผ่านให้แข็งแกร่ง     สิ่งแรกที่ทำได้ง่ายสุดคือการตั้งรหัสผ่านให้แข็งแกร่ง โดยสามารถอ้างอิงวิธีการตั้งรหัสผ่านให้แข็งแกร่งได้ตามคู่มือของ Berkeley
  2. update software    การโจมตีผ่าน Remote Desktop ไม่ใช่มีเพียง Brute Force เท่านั้น ยังมีช่องโหว่มากมายที่อาจพบได้ ดังนั้นหากเป็นไปได้พยายาม update OS ให้ใหม่สุดอยู่เสมอครับ
  3. ควบคุมการเข้าถึงด้วย Firewall      หากเราสามารถทราบได้ว่ามี IP อะไรบ้างที่สามารถเข้าถึง Server นั้นๆได้ผ่าน Remote Desktop เราก็ทำการระบุไปใน Firewall ไปเลย เพื่อปิดการเข้าถึงของ Hacker ครับ หรือหากเป็นไปได้ให้กำหนด Policy การเข้าถึง Remote Desktop Service จำเป็นต้องผ่านการ Authentication ผ่าน OpenVPN มาก่อนก็จะดีครับ
  4. Enable Network Level Authentication      ใน Windows Vista, Windows 7, Windows Server 2008 มี feature Network Level Authentication (NLA) มาให้ โดย NLA เป็นส่วนการเพิ่มการ authentication อีกหนึ่งอย่างก่อนที่จะมีการเชื่อมต่อ connection
    • โดยหากเป็น Windows Server 2008 สามารถดูวิธีการใช้งาน NLA สามารถดูได้จาก https://technet.microsoft.com/en-us/library/cc732713(v=ws.11).aspx
    • โดยหากเป็น Windows Server 2012, Windows 8, Windows 10 สามารถทำได้โดยเข้าไปแก้ไข Group Policy Settings ที่ Computer\Policies\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security จากนั้น Enable ในส่วนที่เขียนเป็น Require user authentication for remote connections by using Network Level Authentication
  5. Limit User ที่สามารถ Login เข้า Remote Desktop ได้     เราสามารถกำหนดได้ว่าจะอนุญาตให้ user ไหนสามารถเข้าถึง Remote Desktop ได้บ้าง ซึ่งแนะนำให้เอา administrator user ออก เพื่อให้ฝั่งของ Attacker คาดเดา Username ได้ยากขึ้น โดยทำตามขั้นตอนนี้
    • Click Start–>Programs–>Administrative Tools–>Local Security Policy
    • ในส่วน Local Policies–>User Rights Assignment, ไปที่ “Allow logon through Terminal Services.” หรือ “Allow logon through Remote Desktop Services”
    • เอา Administrators group ออกจาก Remote Desktop Users group.

rdp_pic1

     6. Set Account Lockout policy    เราสามารกำหนดให้มีการ lock user เมื่อมีการ authentication ผิดเกินจำนวนที่กำหนดได้ โดยทำตามนี้

  • ไปที่ Start–>Programs–>Administrative Tools–>Local Security Policy
  • ภายใต้ Account Policies–>Account Lockout Policies, กำหนดเวลาและจำนวนครั้งในการ lock ได้เลย

     7. เปลี่ยน Port ของ Remote Desktop     เราสามารถเปลี่ยน port การให้บริการของ Remote Desktop ได้โดยเข้าไปแก้ไข registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP โดยเปลี่ยนจาก 3389 ไปเป็น port ที่ต้องการ

screen-shot-2559-11-17-at-16-32-36