RDP – die stille Gefahr

Das RDP-Protokoll wird seit Windows NT 4.0 unterstützt. Es ermöglicht auf einfache Art, auf Windows Remotesysteme zuzugreifen. Vor allem bei den Administratoren gewann diese Methode für Remotezugriff schnell an Beliebtheit. Obwohl die Angriffszahlen über RDP in den letzten Jahren stetig wuchsen (und weiter wachsen), scheint diese Art von Fernzugriff in den Köpfen der Admins stark verankert zu sein. Schliesslich bietet RDP auch alle bequemen Funktionen, an wie z.B. lokale Laufwerke oder Drucker in die Session einzubetten.

Wenn Admins das RDP-Protokoll nutzen, um administrativ auf Server zuzugreifen, dann können Angreifer dieses Protokoll auch zu ihren Gunsten missbrauchen. Uns allen ist seit Jahren klar, dass Systeme per RDP nicht aus dem Internet erreichbar sein sollten. Aber die Gefahr droht nicht nur direkt vom Internet heraus. Angreifer kompromittieren vielfach als erstes einen Client und versuchen von dort, über das RDP-Protokoll auf die Zielserver zu gelangen. Die Vergangenheit zeigt, dass dabei auch Schwachstellen wie BlueKeep im RDP-Protokoll aktiv ausgenutzt wurden. Die Angriffe über RDP haben in den letzten Jahren so stark zugenommen, dass das BSI schon seit 2019 empfiehlt, die RDP-Dienste zu deaktivieren. Sophos schreibt in seinem Active Adversary Playbook 2021, dass in 90 % aller Angriffe RDP eine Rolle spielte. In 69% aller Fälle wurde RDP von den Angreifern genutzt, um sich innerhalb des Netzwerks zu bewegen. Wie die Zahlen zeigen, ist bei den Angreifern RDP hoch im Kurs. Wie das BSI schreibt, ist es wohl an der Zeit, RDP zu deaktivieren.

RDP ist nicht die einzige Methode, um remote auf Windows Systeme zuzugreifen. Wir müssen dafür nur über den «Microsoft-Tellerrand» schauen. Es gibt viele Lösungen auf dem Markt, die Administrieren ohne RDP auf Windows Systemen ermöglichen. Aber am besten setzt man auf eine vollumfassende und ganzheitliche Privileged-Access-Management-Lösung, die nicht nur das RDP Problem löst. Privileged Remote Access von BeyondTrust ist eine solche Lösung, die sicheren Zugriff VPN-less und ohne RDP sogar vom Homeoffice ermöglicht. Neben einer sicheren Zugriffsart kommt die Lösung mit weiteren Features daher:

• • Secret Management
    • Verwaltung von administrativen Passwörtern und SSH Keys (Passwortspeicher)
    • Automatisches Ändern von Passwörtern (Credential Rotation)
  • Session Management
    • Two-Factor Authentication (2FA)
    • Wer darf auf was zugreifen?
    • Just-in-Time Access (zeitbasierter Zugriff)
    • Approval Workflows für sensitive Systeme (Genehmigungsverfahren vor Zugriff)
    • Session Recording (Alle Sessions können aufgezeichnet werden.)
    • Session Termination (Sessions werden nach Gebrauch automatisch geschlossen.)

Die Lösung unterstützt Zugriffe auf Windows- und Linux-Systeme, IOT-Umgebungen oder auf Webseiten.

Privileged Remote Access (PRA) ist eine All-in-One-Lösung. Sie kann nicht nur internen Administratoren Zugriff auf die Systeme ermöglichen, sondern auch den Lieferanten. Mit dieser Lösung können in der Regel folgende Lizenzen eingespart werden:

• • RDS Calls (Keine Jumphost mehr notwendig.)
  • Screenrecording-Lizenzen
  • Kostenpflichtige Lösungen für Filesharing mit Lieferanten
  • IAM-Lizenzen für Lieferanten-Accounts

Da ich selber teilweise als Admin fungiere, kenne ich die Anforderungen an eine solche Lösung. BeyondTrust hat mich vor allem überzeugt, weil die Sicherheit erhöht wird und es lediglich eine Oberfläche für alle administrative Zugriffe gibt. Dadurch sind alle Zugänge geregelt und überwacht.

PRA-Demo: www.youtube.com/watch?v=SmF7iyOVDjo

Funktionsübersicht der PRA-Lösung: www.avantec.ch/loesungen/beyondtrust/privileged-remote-access/