Ochrana virtuálních počítačů pomocí přístupu k virtuálnímu počítači podle potřeby
Útoky hrubou silou na přihlášení obvykle cílí na porty pro správu jako prostředky pro získání přístupu k virtuálnímu počítači nebo serveru. Pokud je to úspěšné, útočník může převzít kontrolu nad hostitelem a vytvořit zápatí ve vašem prostředí. Útok hrubou silou spočívá ve zkoušení všech možných uživatelských jmen nebo hesel, dokud se nenajde to správné.
Tato forma útoku není nejdůmyslnější, ale nástroje, jako je TŘEBA ALBUFEIR-Hydra, představují relativně jednoduchý útok k provedení. Například následující posloupnost příkazů se používá k útoku na server s Windows.
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
Zastavení útoků hrubou silou
Ke zmírnění útoků hrubou silou můžete využít několik postupů:
Zakažte veřejnou IP adresu a použijte jednu z těchto metod připojení:
- Virtuální privátní síť typu point-to-site (VPN).
- Vytvořte síť VPN typu site-to-site.
- Pomocí Azure ExpressRoute můžete vytvářet zabezpečené propojení z místní sítě do Azure.
Vyžadování dvojúrovňového ověřování
Delší a složitější heslo
Omezení pokusů o přihlášení
Implementace testu CAPTCHA
Omezte dobu, po kterou jsou porty otevřené.
Tento konečný přístup je to, co Microsoft Defender for Cloud implementuje vaším jménem. Porty pro správu, jako je Vzdálená plocha a SSH, musí být otevřené jenom v době, kdy jste připojení k virtuálnímu počítači. Například k provádění úloh správy nebo údržby. Vylepšené funkce zabezpečení v Programu Microsoft Defender pro cloud podporují přístup k virtuálním počítačům podle potřeby (JIT). Když je povolený přístup k virtuálnímu počítači JIT, defender for Cloud používá pravidla skupiny zabezpečení sítě (NSG) k omezení přístupu k portům pro správu. Přístup je omezený, když se porty nepoužívají, aby je útočníci nemohli cílit.
Vytvoření zásady, které umožňují přístup k virtuálním počítačům PODLE POTŘEBY
Když povolíte přístup k virtuálním počítačům podle potřeby, můžete vytvořit zásadu, která určuje:
- Porty, které pomáhají chránit.
- Doba, po kterou by porty měly zůstat otevřené.
- Schválené IP adresy, které mají přístup k těmto portům.
Tato zásada vám umožňuje udržet si kontrolu nad tím, co uživatelé mohou dělat, když požadují přístup. Požadavky se protokolují v protokolu aktivit Azure, abyste mohli snadno monitorovat a auditovat přístup. Tyto zásady také pomáhají rychle identifikovat stávající virtuální počítače s povoleným přístupem k virtuálním počítačům JIT. Můžete se také podívat na virtuální počítače, ve kterých se doporučuje přístup k virtuálním počítačům PODLE POTŘEBY.