您可以更好地保护您的VM管理员用户

在此博客文章中,我们将讨论有关保护您的VM管理员凭据的信息。管理员凭据显然是VM上王国的关键,并且您想尽可能地保护它们。但是,这可能会相当困难,例如,如果您需要发布VM以直接RDP访问Internet,以进行维护或远程访问方案。当然,建议使用Site-to-Site VPN或ExpressRoute,但是在各种情况下,仍然有许多VM直接暴露给Internet。

攻击者试图在Internet上查找并接管VM,并将其用于其目的-挖掘加密货币只是攻击者使用这些被盗VM的目的之一。攻击者尝试窃取这些VM时,通常会尝试使用Windows的RDP或Linux机器的SSH登录,并尝试通过公知的方式寻找暴力手段进入VM

  • …具有所有可能的密码组合的用户名
  • …密码,他们尝试使用各种用户名

后者特别有趣,并且在最近经常看到,因为针对用户名的这些攻击不一定会触发帐户锁定-在帐户资产上尝试简单的密码,然后在任何单个帐户上使用下一个密码时,都会看到锁定政策通常已经很久了。

保护您的资产

保护您的凭据不受攻击者的侵害是使捕获凭据和滥用VM变得更加困难和复杂。您通常不必使使用虚拟机成为不可能,但是可以对它应用一些常识性保护措施:

  • 不要在 标准端口,例如用于RDP的TCP 3389或用于SSH的TCP 22,因此“愚蠢”的扫描脚本不会指出存在可用于测试帐户的端点。
  • 避免发布需要访问的所有VM。您可以将其限制为一个VM,并将其用作 跳主机,该域名未加入您托管的域。
  • 使用 广告素材用户名 在已发布的VM上,与在框上可以找到的“通常”用户名不同。
  • 限制IP 从中,您可以通过发布的端口将其连接到框-在VM上可用的端点上具有更高级的配置(网络安全组配置)。

更复杂的东西:

  • 实行 多重身份验证 (Microsoft的MFA Server可以做到这一点)
  • 根本不发布RDP / SSH,而是通过以下方式访问您的虚拟机 ExpressRoute / VPN 或其他“来自内部网络”的连接解决方​​案,或
  • 启用远程访问端口以供公共使用 仅在您需要它们时.
  • 旋转 定期使用用户名和密码组合,并使用户名和密码保持复杂。

好的用户名?

让我们花点时间讨论一下“好”用户名的含义。您会惊讶于自动攻击尝试使用用户名来测试已知密码的行为。尝试过的用户名列表远远超出了“Administrator”或简单的翻译,例如“Administrador” or “Administrateur”–我们发现了用于攻击虚拟机和探查凭据的完整名称列表。

您可以轻松地自己生成这样的列表:创建VM,通过标准TCP 3389 RDP端口公开VM并审核计算机上的登录事件。以后,将登录事件导出,EventID 4625是一个不错的起点,可以合并到用户名和尝试次数的合并列表中。或者,有关其他报告的信息,请使用Azure安全中心将列表导出到一定数量的计算机上。这样可以防止您在VM上安装了VM Extensions,并且Azure安全中心会正确收集数据。

在我们的蜜罐VM上找到的用户名(实际示例)中:

  • 安慰
  • CRMADMIN
  • 扫描器
  • 斯帕敏
  • 接待
  • 用户
  • 测试者
  • 戴尔
  • 前台
  • 演示
  • 复印
  • 理光

而且-一些“normal”用户名,例如:

  • 马丁
  • 约翰
  • 彼德
  • 亚历克斯
  • 丽莎
  • 凯文

走开之前…

您如何保护这一点?如果仍要使用常用的用户名,请尝试附加或在其他信息前添加诸如创建虚拟机的年份和月份或用户名之类的信息,例如:

  • FlorianAdmin1804
  • RDPRoot201804
  • 洛伦兹新秀2018

如果可以,请尽量避免使用该名称“Admin” or “root”完全以管理员用户的名义。而且请记住,仍然需要使用复杂的密码。用类似的方法管理通往王国的钥匙 最后通行证。微软 发表了电子书 在《密码指导》一书中,即使该书早在2014年就已写成,仍然是一本有趣的书。

标签

相关文章

发表评论

该网站使用Akismet减少垃圾邮件。 了解如何处理您的评论数据.