Informācija par apdraudējumiem

openrdp

Apdraudējuma apraksts:

Jūsu datoram ir aktivizēts attālinātās piekļuves serviss RDP - Remote Desktop Protocol (iespējams attālināti pieslēgties jūsu datoram, ja zina lietotājvārdu un paroli), kas pieejams no interneta.

Kāpēc es saņēmu vēstuli?
Jūs saņēmāt vēstuli, jo ar Jūsu datoru vai serveri ir iespējams izveidot RDP savienojumu no publiskā interneta.
Uzminot Jūsu datora paroli, kāds var ielogoties Jūsu datorā.

Kāpēc tas ir svarīgi?
Ir fiksēti vairāki gadījumi, kad krāpnieki izmantojot RDP ielogojas serverī vai datorā. Kā rezultātā visa informācija, kas bija uz iekārtām, tika nošifrēta.
Vai arī Jūsu iekārta var tikt izmantota krāpnieku nelegālām darbībām.

Ko darīt?
- Ja Jums nav nepieciešama RDP funkcionalitāte, tad iesakām RDP servisu atslēgt.

- Ja Jums ir nepieciešama RDP funkcionalitāte, tad iesakām pārbaudīt un pilnveidot drošības uzstādījumus, lai mazinātu datora, servera kompromitācijas riskus, piemēram:

  • Ieviest automātisku lietotāju bloķēšanu gadījumos, ja vairākkārtīgi veikta neveiksmīga autentifikācija (instrukcija: https://cert.lv/lv/2021/06/windows-lietotaju-kontu-blokesana-pec-vairakiem-neveiksmigiem-pieslegsanas-meginajumiem);
  • iestatīt paroli ne mazāku kā 14 simboli lietotājam, kurš var ielogoties iekārtā izmantojot RDP;
  • ieslēgt NLA (Network Level Authentication). To var izdarīt ar sekojošu grupu politiku(GPO): Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security;
  • ierobežot piekļuvi pie Jūsu servera izmantojot ugunsmūri maršrutētājā vai pašā serverī/datorā;
  • atļaut piekļuvi no VPN tīkla;
  • atļaut izmantot RDP ierobežotam lietotāju lokam;
  • izmantot divu faktoru autentifikāciju.


English


Your computer has the Remote Desktop Protocol (RDP) service enabled (you can connect to your computer remotely if you know the user name and password) available from the internet.

Why did I receive the letter?
You received this letter because it's possible to make an RDP connection to either your computer or server from the public internet.
Guessing your computer's password, someone can log in to your computer.

Why is this important?
There are several cases where fraudsters log on to a server or computer using RDP. As a result, all information on the device was encrypted.
Or your device may be used for illegal activities of fraudsters.

What to do?
– If you do not need RDP functionality, then we recommend disabling the RDP service.

– If you do need RDP functionality, then we recommend checking and improving security settings to reduce the risk of computer, server compromise, for example:

  • Implement automatic user blocking in the case of multiple failed authentication (instruction: https://cert.lv/lv/2021/06/windows-lietotaju-kontu-blokesana-pec-vairakiem-neveiksmigiem-pieslegsanas-meginajumiem);
  • set a password of at least 14 characters for a user who can log in to the device using RDP;
  • enable NLA (Network Level Authentication). This can be done through the following Group Policy (GPO): Computer Configuration> Administrative Templates> Windows Components> Remote Desktop Services> Remote Desktop Session Host> Security;
  • restrict access to your server through a firewall on the router or on the server/computer itself;
  • allow access from the VPN network;
  • allow a limited number of users to use RDP;
  • use two-factor authentication.