RDP (Remote Desktop Protocol) to wygodna rzecz. Wystarczy kilka kliknięć, aby znaleźć się w swoim środowisku pracy, siedząc w domu na laptopie, a nawet na telefonie w kawiarni. Jest jednak jedno „ale”: RDP jest również ulubionym celem atakujących. Hakerzy nieustannie skanują sieć w poszukiwaniu otwartych portów RDP, łamią hasła i wykradają klucze. Jeśli nie zadbasz o bezpieczeństwo, Twój „zdalny pulpit” stanie się „otwartym wejściem dla wszystkich”.
Dobra wiadomość jest taka: istnieje kilka prostych, ale skutecznych poprawek, które znacznie zwiększą stabilność Twojego systemu. Przyjrzyjmy się im po kolei.
Hasła nie są "123456"
Brzmi to banalnie, ale większość włamań zaczyna się właśnie od tego. Hasła takie jak qwerty, admin czy password1 to dla botów dar niebios. Sprawdzają one te opcje w pierwszej kolejności.
Zasada jest prosta: co najmniej 12 znaków, kombinacja liter, cyfr i symboli. A jeszcze lepiej, skorzystaj z menedżera haseł, aby oszczędzić sobie kłopotu. Generator haseł pomoże Ci łatwo tworzyć silne kombinacje.
Przykładem jest sytuacja, gdy w 2023 roku amerykańska firma straciła kontrolę nad serwerem tylko dlatego, że administrator systemu zostawił hasło Welcome2022. Hakerzy pobrali bazę danych klientów w ciągu dwóch godzin. I nie była to mała firma, lecz serwis z 200 000 użytkowników.
Uwierzytelnianie dwuskładnikowe (2FA)
Nawet jeśli Twoje hasło zostanie skradzione lub odgadnięte przez bota, druga weryfikacja uratuje sytuację. Może to być kod jednorazowy z Google Authenticator, SMS lub powiadomienie push.
W systemie Windows Server można podłączyć dodatkowe rozwiązania 2FA i to naprawdę działa. Owszem, czasami jest to niewygodne – ale pomyśl: co jest lepsze: poświęcić 20 sekund na kod czy stracić bazę klientów i latami odbudowywać reputację?
Zmień port i ogranicz dostęp
Domyślnie RDP znajduje się na porcie 3389. I to właśnie ten port jest celem ataków tysięcy botów. Zmiana portu to drobny, ale irytujący problem.
Jeszcze lepiej jest otworzyć dostęp tylko do określonych adresów IP. Na przykład, możesz zalogować się tylko z biura lub przez VPN. Owszem, to trochę kłopotliwe, ale haker z Bangladeszu nie będzie w stanie „zapukać” do twojego serwera, nawet teoretycznie.
Analogia jest taka: wyobraźmy sobie, że musimy przenieść się z pierwszego piętra z otwartym oknem na dwudzieste piętro z domofonem. Czy da się wejść do takiego mieszkania? Teoretycznie tak. Ale szanse są wielokrotnie mniejsze.
Użyj szyfrowania i nie zapomnij o aktualizacji
Protokół RDP ma funkcję o nazwie Network Level Authentication (NLA). Dodaje ona uwierzytelnianie przed nawiązaniem sesji. Jeśli NLA jest wyłączone, to tak, jakby drzwi były otwarte.
Drugim problemem są aktualizacje systemu Windows. Wiele luk w zabezpieczeniach RDP zostało już usuniętych dzięki aktualizacjom. Pominięcie poprawki otwiera drzwi hakerom.
Uderzającym przykładem jest atak BlueKeep z 2019 roku, który rozprzestrzenił się właśnie za pośrednictwem starych, niezaktualizowanych serwerów Windows. Luka umożliwiła całkowite przejęcie kontroli nad maszyną bez podania hasła. I wiecie co? Tysiące firm po prostu nie aktualizowało swoich systemów.
Rejestry i monitorowanie — Twoja czarna skrzynka
Żadne hasła ani uwierzytelnianie dwuskładnikowe Cię nie uchronią, jeśli nie wiesz, co dzieje się w systemie. Sprawdź:
kto się zalogował i z jakiego adresu IP;
Czy były setki nieudanych prób logowania?
Czy zdarzały się jakieś dziwne sesje w nocy, kiedy wszyscy spali?
Do tego celu służy Podgląd zdarzeń systemu Windows, ale lepiej jest podłączyć zewnętrzne usługi monitorujące. Powiadomią Cię natychmiast, a nie wtedy, gdy będzie za późno.
Kilka powszechnych mitów na temat RDP
„Nie dam się zhakować, jestem mały”. Boty tak naprawdę nie przejmują się tym, kim jesteś. Po prostu skanują adresy IP i atakują wszystko po kolei.
„VPN wystarczy”. VPN jest dobry, ale jeśli hasło RDP jest słabe, nie zapisze danych.
„Nasz informatyk kontroluje wszystko”. Tak. Jest teraz na urlopie i na serwerze nie ma żadnych poprawek.
RDP w praktyce
W 2021 roku ukraińska firma logistyczna została „unieruchomiona” na tydzień. Powodem był otwarty PROW bez ograniczeń. Prace zostały wznowione po 10 dniach.
Jeden z freelancerów z serwisu Fiverr przyznał, że jego konta zostały zhakowane po tym, jak serwer RDP, na którym przechowywał swoje projekty, został naruszony. Hasło brzmiało admin123. Klienci odeszli, a profil został zablokowany.
To nie są historie grozy - to codzienna praktyka.
Podsumowując
RDP to nie luksus, ale narzędzie, bez którego trudno wyobrazić sobie pracę zdalną. Jeśli jednak nie zadbasz o podstawowe ustawienia, to narzędzie obróci się przeciwko Tobie.
Silne hasło, uwierzytelnianie dwuskładnikowe, niestandardowy port, filtrowanie adresów IP, szyfrowanie i aktualizacje, a do tego monitorowanie — oto Twoja minimalna lista kontrolna.
A jeśli korzystasz z Windows VDS od Hyperhost , to domyślnie otrzymujesz część tego „pakietu bezpieczeństwa”: centra danych, odporne na awarie dyski SSD, bezpieczne kanały. Reszta zależy od Ciebie. Bo w 2025 roku „zhakowane przez RDP” brzmi nie jak nowina, a jak diagnoza: „nie skonfigurowano podstawowych rzeczy”.
