3 Minutit
Üks salakavalaimaid ründevektoreid ettevõtte IT-s on nüüd palju raskemini ära kasutada. Aprilli 2026 kumulatiivsete värskendustega Windows 10 ja Windows 11 jaoks teeb Microsoft Remote Desktop Protocoli, tagasihoidliku RDP-faili ning seda peent nippi, mida ründajad on kasutanud õngitsusrelvaks muutmiseks, rangemaks.
Esmapilgul tundub RDP-fail täiesti kahjutu. See on lihtsalt kaugtöölaudühenduse otsetee, selline asi, mida süsteemiadministraatorid ja tugimeeskonnad päeva jooksul ringi jagavad. Just seepärast on see ohtlik. Avades vale faili, võib teie masin hakata ühenduma ründaja kontrollitud serveriga, mis paljastab lokaalsed kettad, lõikelaua sisu ja isegi autentimisandmed enne, kui jõuate aru saada, mis juhtus.
Tuttav fail, reaalne oht
See ei ole mingi teoreetiline laboristsenaarium. APT29, Venemaaga seotud rühmitus, tuntud ka varjatud luurekampaaniate poolest, on juba praktikas kasutanud petturlikke RDP-faile, et varastada kasutajatunnuseid ja tõmmata andmeid sihitud ohvritelt. Meetod töötab, sest see ei tundu rünnakuna. See näeb välja nagu dokument. Igav dokument. See ongi probleem.
Microsoft on juba pikka aega püüdnud kasutajaid hoiatada, kui RDP-fail tundub kahtlane. Kui fail ei ole allkirjastatud, kuvab Windows hoiatuse, mis sisuliselt teatab, et kauge ühendus on tundmatu ja avaldajat ei saa kinnitada. Isegi kui fail on allkirjastatud, palub Windows enne ühenduse loomist avaldaja kinnitust. Digitaalne allkiri aitab identiteeti tõendada, kuid ei muuda faili automaatselt ohutuks.
Mis muutub pärast värskendust
Uus kaitsekihistus RDP-turvalisuse parandamiseks lisab täpselt õiges kohas rohkem takistusi. Esmakordsel RDP-faili avamisel pärast värskenduse paigaldamist kuvab Windows ühekordse selgitava teate, mis kirjeldab, mida fail teeb ja miks see võib olla riskantne. Pärast seda kutsub iga otse avatud RDP-faili käivitamine enne ühenduse lubamist esile turvalisusdialoogi.
See viip on kasulikum kui tavaline üldine hoiatus. See näitab, kas fail pärineb kinnitatud, digitaalselt allkirjastatud avaldajalt. Samuti näeb kasutaja kauge aadressi, millega kavatsetakse ühenduda, ja loetleb kohalikud ressursid, mida fail üritab ümber suunata, näiteks lõikelaua juurdepääsu, kettad ja ühendatud seadmed. Midagi ei jagata vaikimisi. Te peate selle aktiivselt lubama. Selleks see kõik ongi.
Siin on oluline üksikasj: need hoiatused kehtivad ainult siis, kui RDP-fail avatakse otse. Kui kasutate standardset Windows Remote Desktop klienti, jääb kogemus samaks. IT-meeskondadele, kes tõesti vajavad viipade vaigistamist, pakub Microsoft registripõhist möödasõiduvõimalust. Kuid arvestades, kui tõhusalt on RDP-faile reaalses maailmas kuritarvitatud, oleks kaitsete keelamine riskantne samm.
Praktiliselt teeb Microsoft seda, mida turvameeskonnad on aastaid nõudnud: muutes ohtliku mugavuse natuke vähem mugavaks ja palju turvalisemaks.
See kompromiss ajab tõenäoliselt mõne targa kasutaja närvi. Olgu nii. Turvalisus teeb seda tihti. Kuid kui valiku vahel on üks lisaklikk või ründajale lõikelaua, kohalike failide või sisselogimisandmete andmine, on vastus selge.
Jäta kommentaar