Patch Tuesday に、Microsoft はセキュリティ更新プログラム MS12-020 をリリースし、Microsoft の RDP (Remote Desktop Protocol) の実装で最近見つかった 2 つの不具合を修正しました。 そのうちの 1 つは、ハッカーが RDP を有効にした Windows マシンで LocalSystem コントロールを取得できる可能性があるため、Microsoft は「重要」と位置づけています。
もうお分かりかと思いますが、これは高リスクの状況であり、Code Red や Melissa、SQL Slammer によるものと同じくらい深刻な流行になり得るものです。 今すぐパッチまたは修正を行ってください!
マイクロソフトは、その両方を支援します。 パッチをインストールするか、オンラインの Fix It スクリプトを実行して、パッチが適用されるまでの間、問題を軽減することができます。 このスクリプトは、リモート システムが接続する前に認証を必要とする Network Level Authentication を有効にします。 私が 10 年以上にわたって推奨してきたように、管理者は、可能であれば、インターネット接続可能なサービスをデフォルトでないポートで実行することを考慮すべきです。 この特定のケースでは、RDP はポート 3389 以外のポートで実行されるべきです。
この助言は他の領域にも及びます。 管理者用 Web サイトはポート 80 または 443 で実行されるべきではない。 SSH はポート 22 でリッスンするべきではない。 Telnet ホストは 23 番ポートをリッスンするべきではない。 FTPはポート21と22 (パッシブモード) を使用し、アクティブモード (他のポートを指定できる) でさえ、ファイアウォールを介してうまく動作しません。
RDPの場合、このガイダンスに従ってデフォルトポートを変更することが可能です。 しかし、デフォルトのポートを変更する場合、接続文字列でデフォルト以外のポートを示さなければなりません (たとえば、mstsc.exe 192.168.1.12:50045)。
企業規模のサービスでデフォルトのリスニング ポートを変更することを私が推奨すると、しばしば批判にさらされることがあります。 私の中心的な主張は次のとおりです。 ほとんどの場合、企業はデフォルトのリスニング ポートを変更することができ、管理者の教育や、いくつかのスクリプトやツールの一回限りの再設定以上の問題は発生しませんし、兵器化した攻撃のリスクを大幅に減少させます。 この事実だけで、多くの保護が得られます。
この種の推奨を「不明瞭さによるセキュリティ」と呼び、まるで悪いことであるかのように言う人がいます。 私に言わせれば、無名によるセキュリティは最高の防御の1つです。 そうでなければ、各国は情報を秘密にする代わりに、ミサイルや原子力潜水艦がどこにあるかを公表するでしょう。
私にとって、SQL Slammer ワームは、共通のサービスをデフォルトではないポートに置くことに対する最高の議論の 1 つです。 2003年にリリースされたこのワームは、インターネットに接続されている、パッチが適用されておらず保護されていないほぼすべてのSQLサーバーを10分間で攻略しました。 日曜日の早朝に発生し、ほとんどの管理者が目を覚ました時には、被害はほぼ丸1日続いていました。
基本的に、私たちが目から塩を拭き取った時には、それは終わっており、その後 48 時間(またはそれ以上)、混乱を一掃するために費やしました。
SQL をデフォルト以外のポート (1433 と 1434 以外のポート) で有効にしていた人は、他の人が災害に対処するのを冷静に見守る以外に何もする必要はありませんでした。 ポートを切り替えた人たちは、大きな混乱を片付ける必要はありませんでした。 パッチを急いで出す必要もなかった。 悪用されるサーバーを抱えることもなかった。 サービスに接続する前に有効な VPN 接続を要求する、サービスを有効にする前に事前のポート連絡の組み合わせを要求する、サービスが応答する前に認証成功を要求する (これは Microsoft の Fix It ソリューションです) など、兵器化した攻撃から保護できるものであれば何でもです。
しかし、可能な限りデフォルトのポートを変更することほど効果的にリスクを減少させる簡単なセキュリティ ソリューションは他に思い当たりません。 このアドバイスに従うなら、他の既存のサービスとのポートの競合を避けるために、ポートを10,000または12,000以上のかなり高い番号に移動する。 すべての生産設備をテストし、必要なファイアウォールやプロキシを更新してください。 過去にこのアドバイスに従った読者は、今週はそれほど急いではいないようです
。