Acessar servidores ou estações de trabalho remotamente é uma ótima maneira de gerenciá-los, mas também é importante ter em conta que o acesso remoto é um grande alvo de ataque para cibercriminosos.
Por exemplo, se os cibercriminosos conseguirem acessar o login do administrador no seu controlador de domínio, eles efetivamente serão donos da infraestrutura do Windows e poderão causar estragos em sua empresa. Desde enviar e-mails corporativos para departamentos de contabilidade, desviar a propriedade intelectual de sua empresa ou até criptografar todos os arquivos da empresa para retê-los e, em seguida, obter dinheiro em troca de um resgate, os ataques direcionados ao Remote Desktop Protocol (RDP) podem chegar a causar muitos problemas.
Nesse contexto, embora mencionemos principalmente “RDP”, estamos nos referindo a todos os tipos de software de desktop remoto e acesso remoto, incluindo VNC, PC Anywhere, TeamViewer etc., e não apenas o Microsoft RDP. A boa notícia é que existem muitas maneiras de se proteger contra possíveis ataques ao RDP, começando com a desativação. Se você realmente não precisa de acesso remoto, a opção 'off' é a mais simples.
Se você precisar permitir esse acesso, há várias maneiras de restringi-lo:
Primeiro, permita o acesso apenas a partir de endereços IP internos provenientes do servidor VPN da sua empresa. Isso tem o benefício adicional de não expor de forma pública as portas de conexão RDP.
Falando em expor portas, se essa for sua única opção, convém modificar a porta de conexão RDP para um número não padrão, evitando que worms simplistas ataquem sua rede através de suas portas RDP. Porém, lembre-se de que a maioria dos scanners de rede verifica todas as portas quanto à atividade de RDP; portanto, isso deve ser visto como "segurança através da obscuridade", uma vez que praticamente não oferece segurança adicional contra atacantes modestamente sofisticados. Você precisa estar extremamente vigilante sobre a revisão do acesso à rede e das atividades de login nos logs do seu servidor RDP, pois pode ser mais uma questão de “quando” e não “se” um atacante acessar sua rede.
Segundo, certifique-se de ativar a autenticação multifator (MFA) para usuários remotos como outra camada de autenticação.
Terceiro, sempre que possível, permita apenas conexões RDP recebidas dos endereços IP públicos de seus usuários. A maneira mais fácil para os colaboradores remotos procurarem seu endereço IP público é pesquisar no Google “Qual é o meu endereço IP” (digite em inglês “What is my IP address”) e o primeiro resultado será o seu endereço IP. Em seguida, seus colaboradores remotos podem fornecer essas informações à sua equipe de TI ou de Segurança para que sua empresa ou organização possa criar uma lista de permissões de endereços IP. Também é possível criar uma lista de permissões de IPs ativados ao permitir sua sub-rede, pois os endereços IP domésticos dinâmicos normalmente ainda se enquadram em uma sub-rede após a reinicialização de um roteador ou outra manutenção de rede no cliente final.
Mesmo que você proteja seu acesso ao RDP, especialistas recentemente descobriram uma série de exploits contra o protocolo RDP. Portanto, para evitar problemas, verifique se o protocolo está totalmente parcheado. Para mais informações sobre como proteger o RDP, acesse o post (em inglês): It’s time to disconnect RDP from the internet.