В последние дни мы наблюдаем усиление сканирования портов RDP на наших серверах. Причина этого — критическая уязвимость Windows CVE 2020 1472, также известная как zerologon. Уязвимость связана с протоколом аутентификации Windows Netlogon, который позволяет вам контролировать весь домен Active Directory.

Чтобы минимизировать риск, мы рекомендуем использовать одно из решений:

1. Выполняя обновление серверов с операционной системой Windows Server, мы рекомендуем сделать контрольный снимок сервера перед обновлением, чтобы восстановить сервер до состояния до обновления в случае сбоя обновления. Мы рекомендуем установку независимо от того, установлена ​​ли на сервере роль Active Directory.

2. Если сервер должен быть доступен из общедоступной сети, мы рекомендуем изменить порт RDP на произвольный, создать дополнительную административную учетную запись и заблокировать учетные записи по умолчанию. Мы рекомендуем создавать сложные пароли для пользователей, длиной не менее 12 символов со специальными символами, цифрами, заглавными и строчными буквами. Кроме того, с общедоступным сервером настоятельно рекомендуется ограничить доступ RDP на уровне брандмауэра только определенными фиксированными IP-адресами.

3. Еще одно решение, которое стоит использовать, — это VPN-туннель. Предложение NSIX включает сертификаты, которые можно установить на серверные и клиентские терминалы. После установки вам следует заблокировать доступ к RDP и другим конфиденциальным службам, которые не должны быть доступны из общедоступной сети. Также можно запустить собственный VPN-сервер, который позволит получить доступ к серверу через частный зашифрованный туннель.

4. Альтернативой сертификатам является запуск виртуального маршрутизатора, который позволяет контролировать соединения, отслеживать подозрительный трафик, настраивать маршрутизацию и запускать службу VPN. Это более дорогой вариант по сравнению с сертификатами VPN, но с гораздо большим количеством возможностей.

5. Не забывайте создавать и проверять резервные копии, в ситуации, когда кто-то получает несанкционированный доступ к нашему серверу, часто единственным вариантом является восстановление резервной копии. В центре обработки данных NSIX копии виртуальных серверов создаются каждый день. До 3 дней назад они выполняются совершенно бесплатно, для клиентов, которым требуется более длительное хранение данных, мы предлагаем продление графика резервного копирования до 14 дней.

Подводя итог, риск очень велик. высокий и есть как минимум несколько вариантов безопасности. Если вы не знаете, какую защиту выбрать или предпочитаете доверить ее профессионалам, обратитесь в нашу техподдержку. Мы оценим лучшее решение, обезопасим систему и выберем сервисы, которые минимизируют аналогичные угрозы в будущем.