Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il tuo sistema di Desktop Remoto è al sicuro da attacchi di tipo brute-force?
- GIOVEDÌ 27 LUGLIO 2017


Come già spiegato in precedenza, i cyber-criminali sempre più spesso diffondono ransomware ottenendo l’accesso al computer attraverso il Desktop Remoto. L’accesso remoto al computer della vittima viene solitamente ottenuto tramite tecniche di brute-force capaci effettivamente di cracckare le password, soprattutto quelle più deboli. 

Solitamente, l’attaccante esegue la scansione degli indirizzi IP per la porta RDP 3389 (porta RDP di default) che sono aperti alla connessione. Una volta che l’attaccante ha trovato una porta, lancia l’attacco brute-force. La tecnica di brute-force consiste essenzialmente nel tentare di indovinare una password attraverso ripetuti tentativi, usando soprattutto credenziali molto diffuse, parole del dizionario o altre combinazioni. Vi sono moltissimi tool a disposizione su Internet che svolgono sia la funzione di scansione della Porta che il brute force.  Una volta ottenuto l’accesso, il cyber-criminale disabilita il software antivirus e avvia il payload: cioè significa che, anche se l’antivirus fosse aggiornato e in grado di individuare e contrastare il malware, il suo spegnimento lascia il sistema privo di difese.

Tuttavia, il Firewall di Quick Heal può effettivamente prevenire questi accessi non autorizzati: basta configurarlo in maniera tale che solo indirizzi IP affidabili possano accedere al sistema tramite Desktop Remoto. 

Configurare il Firewall:
Per prima cosa occorre creare una regola per bloccare le connessioni RDP provenienti da qualsiasi sistema in entrata. Quindi occorre creare regole di esclusione che consentano solo a specifici sistemi la possibilità di bypassare la prima regola e avere accesso all’RDP del sistema. 

Per i prodotti EPS Seqrite:
1. Fai login alla Console EPS--> Seleziona Impostazioni--> Firewall
Nota: queste impostazioni saranno applicabili a tutti client nell’ambito della policy di default.
Per gli altri gruppi creati, la configurazione dovrebbe essere fatta nell’ambito delle rispettive policy. 


Per i prodotti Quick Heal:

Apri il Pannello di Controllo di Quick Heal--> seleziona Internet e Reti--> Protezione Firewall
-->Impostazioni avanzate--> Configura--> Regole di traffico
.

1. Per bloccare tutte le connessioni RDP:
  • Scorri verso il basso e fai doppio clic su “Consenti Desktop Remoto
  • Fai clic su Avanti fino a raggiungere l’ultima finestra, quindi clic su Seleziona Azione
  • Cambia l’azione da “Consenti” a “Nega” quindi fai clic su Fine.
2. Per aggiungere eccezioni per sistemi affidabili:
  • Nella finestra “Regole di traffico”, fai clic su Aggiungi per aggiungere una eccezione
  • Assegna un nome alla regola (ad esempio RDP white-list) e fai clic su Avanti per due volte
  • Nella finestra “Local TCP/UDP Port” inserisci la porta RDP nell’opzione “Specifica porta” e fai clic su Avanti. Di default, la porta RDP è la 3389.
  • In “Remote IP Address” inserisci l’indirizzo IP del sistema dal quale vuoi accettare connessioni RDP.
  • Puoi anche inserire un gruppo di indirizzi IP per consentire connessioni RDP da più sistemi del range specificato. (ad esempio da 192.168.0.1 a 192.168.0.255)
  • Seleziona “Avanti” per la finestra “Remote TCP/UDP port”
  • Seleziona una azione da consentire come  “Consenti” nell’ultima finestra, quindi fai clic su Fine. 
  • Ora salva le modifiche, facendo clic su OK e selezionando “Salva modifiche”. 

    Nota: assicurati che la regola RDP White-list sia superiore della regola “Consenti Desktop Remoto” nella lista di regole del Firewall. 

Altre pratiche di sicurezza che possono aiutarti a impedire attacchi di brute force dell’RDP
  • Usa password sicure e diverse da tutte quelle che hai sugli altri account. Password prevedibili come Admin, admin@123, user, 123456, password ecc.. possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi.
  • Configura una protezione tramite password per i tuoi software di sicurezza. Questo ti consentirà di impedire l’accesso al sistema da parte di utenti non autorizzati intenzionati a disinstallare o disabilitare l’antivirus. Gli utenti Quick Heal possono attivare questa caratteristica da “Impostazioni--> Protezione password"
  • Disabilita l’account Amministratore e usa un nome account differente per le attività amministrative. La maggior parte dei tentativi di brute-force sono compiuti su un account Amministratore visto che spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato o utente ospite, nel caso siano presenti nel sistema. 
  • Cambia la porta RDP di default. La maggior parte degli attacchi infatti si concentra sulla porta 3389 perché quella di default in quasi tutti i sistemi.
  • Attiva l’ Autenticazione a livello di rete nelle tue impostazioni RDP, disponibile dal SO Windows Vista e successivi.
    Rif: https://technet.microsoft.com/en-us/library/cc732713.aspx
  • Configura l’ “Account Lockout Policies” che chiude automaticamente l’account dopo un numero specificato di tentativi falliti. Questa caratteristica è disponibile in Windows
    Rif: https://technet.microsoft.com/en-us/library/dd277400.aspx


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 20 OTTOBRE 2017
Il malware Sockbot scoperto in 8 app nel Play Store: formava una botnet e diffondeva ads
Google ha rimosso 8 app dal proprio Play Store: tutte erano state infettate col malware per Android Sockbot. Queste app si presentavano come app per le skin di Minecraft ...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2017 nwk - Privacy Policy - Login