使用 JIT VM 存取來保護虛擬機器
暴力密碼破解登入攻擊通常會以管理連接埠為目標,作為取得虛擬機器 (VM) 或伺服器存取權的手段。 如果成功,攻擊者便可以控制主機,並在您的環境中建立據點。 暴力密碼破解攻擊包含檢查所有可能的使用者名稱或密碼,直到找到正確的帳戶。
這並非最複雜的攻擊形式,但諸如 THC-Hydra 等工具會使其成為相對簡單的攻擊來執行。 例如,下列命令序列是用來攻擊 Windows 伺服器。
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
阻止暴力密碼破解攻擊
若要對抗暴力密碼破解攻擊,您可以採用多種手段,例如:
停用公用 IP 位址,並使用下列其中一種連線方法:
- 點對站虛擬私人網路 (VPN)。
- 建立站對站 VPN。
- 使用 Azure ExpressRoute 來建立從內部部署網路到 Azure 的安全連結。
需要雙因素驗證
增加密碼長度和複雜性
限制登入嘗試
實作 Captcha
限制開啟埠的時間量
最後這種是適用於雲端的 Microsoft Defender 代表您實作的方法。 只有在您連線至 VM 時,才需要將管理連接埠 (例如遠端桌面和 SSH) 開啟。 例如,若要執行管理或維護工作。 適用於雲端 Microsoft Defender 中的增強式安全性功能支援 Just-In-Time (JIT) 虛擬機器 (VM) 存取。 啟用 JIT VM 存取之後,適用於雲端的 Defender 會使用網路安全性群組 (NSG) 規則來限制對管理連接埠的存取。 當連接埠未使用時,存取會受到限制,讓攻擊者無法鎖定它們。
建立可啟用 JIT VM 存取的原則
當您為 VM 啟用 JIT VM 存取時,可以建立原則來決定下列項目:
- 要協助保護的連接埠。
- 連接埠應該保持開啟的時間長度。
- 可存取這些連接埠的已核准 IP 位址。
原則可讓您隨時控制使用者要求存取時可以執行的動作。 要求會記錄在 Azure 活動記錄中,因此您可以輕鬆地監視和稽核存取。 原則也可協助您快速識別現有的 VM (已啟用 JIT VM 存取)。 您也可以查看建議使用 JIT VM 存取的 VM。