リモートデスクトップ接続(RDPと略す)でログインされて
クリップボードからpowershellなどで目的のプログラムを実行させる流れの様子。
対策
RDPをやめる
- RDPをやめて、ChromeリモートデスクトップやTeamViewerなど別なものを利用する
しかし引き続きRDPを使いたい場合は
ログインを難しくする
- RDPの接続ポートを変える
- パスワードを変更して流出しているパスワード一覧に載ってなさそうなものを設定する。
二要素認証を設定する
- 有料だとRD Gateway + AzureADと組み合わせることができるようだが、お金をかけたくない場合は
- Duo Securityは10名程度までなら無料。
RDPの前にいくつかはさむ
- VPN 接続しないとRDP接続できないようにする
- sshポートフォワーディングしないとRDP接続できないようにする
- ファイアウォールでグローバルIP制限をする
ログインされても少し不便にする
- クリップボード共有や、ローカルファイル共有などを無効化するローカルポリシーを設定しておく。
自分で作りこむ
- 接続されたらslackなどに通知が届くようにする。
- 接続されたら指定時間以内に何かをしないとブロックリストに追加してログアウトさせるようにする。
- 特定の操作をしないとRDPサービスが起動しないようにして、毎日サービスを停止するタスクスケジューラ登録をするなど