Когда вы фокусируетесь на хакерах из интернета, настоящая угроза приходит с противоположной стороны экрана — с рабочего стола руководителя. То, что в компании считают «доступом для удобства», я использовал как шлюз для обхода всех защитных периметров. За четверть часа, без взлома паролей, через легитимные каналы. https://seberd.ru/5902
Не пароль, а портал: что на самом деле открывает «Доступ к удалённому рабочему столу»
Внутрикорпоративная сеть обычно сегментирована. Пользователи в одном сегменте, сервера в другом, финансовые системы в третьем. Снаружи всё прикрыто межсетевыми экранами, системами обнаружения вторжений. Но есть элемент, который по умолчанию связывает все эти сегменты — компьютер руководителя или системного администратора. На него часто выдают права локального администратора, на нём хранятся пароли в браузере, к нему подключаются по RDP или аналогичным протоколам для удалённого управления.
Когда вы активируете «Разрешить подключения удалённого рабочего стола» в настройках Windows или устанавливаете сторонний RDP-сервер, вы создаёте не просто удобную точку входа. Вы открываете портал, который потенциально ведёт ко всем ресурсам, доступным с этой машины. А их список часто на порядки шире, чем у рядового сотрудника.
15-минутный сценарий: от легитимного доступа к полному контролю
Предположим, у меня есть доступ к внутренней сети. Это не обязательно хакерский прорыв. Это может быть гостевая Wi-Fi-сеть, компьютер в переговорной комнате, или даже скомпрометированный аккаунт рядового сотрудника. Моя цель — компьютер руководителя с включённым RDP (порт 3389 по умолчанию или альтернативный).
Первая минута: поиск. В локальной сети часто работают службы NetBIOS или LLMNR. Отправляя широковещательные запросы, можно получить имена компьютеров. Имена вроде «CEO-PC», «DIRECTOR», «ADMIN-01» говорят сами за себя. Иногда это видно в списках сетевых папок. Сканер портов (например, Nmap) покажет, у какого IP открыт порт 3389.
nmap -p 3389 192.168.1.0/24Пятая минута: атака на учётные данные. Часто для входа по RDP используют те же пароли, что и для входа в домен. Если в сети есть уязвимости протокола SMB или Kerberos, можно попробовать перехватить или подобрать хэш пароля. Но есть более простой путь — атака на кэш учётных данных Windows. Утилиты вроде Mimikatz, запущенные с уже скомпрометированной машины в той же сети, могут извлечь пароли и хэши из памяти других систем, если не настроена полная изоляция.
Десятая минута: подключение. Найдя IP и подобрав/перехватив учётные данные, подключаюсь по RDP. Если используется двухфакторная аутентификация (2FA) для входа в Windows, это серьёзное препятствие. Но во многих российских компаниях 2FA для локального входа или RDP не настроен, полагаясь на сложность пароля.
Двенадцатая минута: разведка внутри. Я на рабочем столе руководителя. Первым делом проверяю запущенные процессы, сетевые подключения, сохранённые пароли в браузерах и менеджерах (типа KeePass, если они открыты). Часто в открытом виде или в заметках на самом рабочем столе можно найти доступы к критическим системам: CRM, 1С, панели управления хостингом, корпоративным почтовым ящикам.
Пятнадцатая минута: эскалация и консолидация. С этого компьютера, скорее всего, есть доступ к серверам по RDP или через SSH-клиенты с сохранёнными ключами. Можно установить дополнительное вредоносное ПО, создать скрытые учётные записи, настроить туннели для дальнейшего доступа. Теперь я внутри наиболее привилегированного сегмента сети.
Почему стандартные меры безопасности не сработают
Типичная защита фокусируется на периметре: файерволы блокируют входящие подключения из интернета, средства защиты от DDoS, шифрование каналов. Однако атака идёт изнутри локальной сети. Она использует легитимные, разрешённые корпоративными политиками протоколы (RDP, SMB).
- Антивирус и EDR могут не сработать, если не используется эксплуатация уязвимостей, а применяются стандартные системные утилиты (cmd, powershell, легитимные RDP-клиенты). Это атака, движимая учётными данными, а не вредоносным кодом.
- Сложные пароли бесполезны, если они были скомпрометированы из кэша другой системы или подобраны из-за утечки.
- Сегментация сети часто обходится, потому что компьютер руководителя по умолчанию имеет доступ ко многим сегментам. Он и есть точка пересечения всех политик.
Ключевая проблема: RDP-сервис воспринимается как инструмент администрирования, а не как критическая точка входа, требующая максимального контроля. Его оставляют включённым для удобства, забывая, что он становится самым коротким путём к корпоративным активам.
Что можно сделать: практические меры для российского ИБ-специалиста
Речь не о полном запрете удалённого доступа, а о его жёстком контроле. Вот список приоритетных действий, выходящих за рамки базовых рекомендаций.
Технический контроль доступа
- Шлюз удалённого доступа (Remote Desktop Gateway). Никаких прямых RDP-подключений на корпоративные ПК. Все подключения должны проходить через специальный шлюз (RD Gateway в терминах Microsoft), который выступает посредником, проводит предварительную аутентификацию и авторизацию, логирует сессии. Это сводит на нет прямой поиск открытых портов 3389 в локальной сети.
- Беспарольная аутентификация и строгий MFA. Для доступа к критичным рабочим местам (руководство, администраторы) обязателен многофакторный аутентификатор (не SMS), а в идеале — использование аппаратных ключей (например, Рутокен) или сертификатов. Парольная аутентификация для таких ролей должна быть отключена в принципе.
- Принцип нулевого доверия (Zero Trust) для привилегированных сессий. Сессия RDP должна рассматриваться как высокорисковая. Применяйте политики, требующие повторной аутентификации при доступе к особо важным ресурсам (панели управления, базы данных) даже внутри сессии. Используйте решения для контроля привилегированных сессий (PAM), которые записывают все действия и требуют утверждения для критичных операций.
Сетевая изоляция и мониторинг
- Выделенный VLAN для администрирования. Компьютеры, с которых разрешено администрирование (включая ПК руководителей), должны находиться в отдельном, строго контролируемом сегменте сети. Доступ из этого сегмента в другие должен регулироваться списками доступа (ACL) на межсетевых экранах не по принципу «всем серверам», а по конкретным IP и портам, необходимым для работы.
- Активный мониторинг RDP-сессий. Настройте SIEM-систему на сбор и анализ событий Windows (идентификаторы событий 4624 — успешный вход, 4625 — неудачный вход, 4778 — повторное подключение к сессии) с учётных записей администраторов. Аномалии — вход в нерабочее время, с необычного IP-адреса (даже внутреннего), несколько неудачных попыток с последующим успехом — должны триггерить немедленное оповещение.
- Запрет протоколов, способствующих разведке. В сетях, где нет обратной совместимости, отключите протоколы NetBIOS и LLMNR. Они служат для удобства, но являются источниками информации для атакующего внутри сети. Поиск компьютеров должен вестись только через DNS.
Политики и осознанность
Технические меры должны быть подкреплены организационными.
- Политика минимальных привилегий для рабочих станций. Никаких прав локального администратора на повседневном ПК, даже для руководства. Для административных задач должны использоваться выделенные, строго контролируемые «рабочие места администрирования».
- Запрет на хранение критичных учётных данных на рабочих станциях</strong. Пароли к системам должны храниться только в корпоративных менеджерах паролей (например, «КиберАрк» или «Сейф ВКонтакте»), доступ к которым также защищён MFA. Браузеры должны быть настроены на запрет сохранения паролей для корпоративных ресурсов.
- Регулярные аудиты активных RDP-сервисов. Автоматизированный поиск в сети систем с открытым портом 3389 (или альтернативных для других VNC-решений) должен проводиться еженедельно. Любое несанкционированное открытие порта — инцидент.
- Обучение руководства. Важно донести, что их компьютер — не просто инструмент, а ключ от сейфа. Любая просьба «включить удалённый доступ для срочного решения проблемы» извне должна проходить через утверждённый регламент и службу безопасности.
Итог: пересмотр отношения к удалённому доступу
История не про уязвимость в RDP. Она про системную слепоту к рискам, которые создают легитимные привилегии. Атака через рабочий стол начальника эффективна не потому, что хакеры гениальны, а потому, что защита сфокусирована не там, где находится реальная ценность. В российской регуляторной практике (152-ФЗ, ФСТЭК) есть требования по управлению доступом, но они часто формализуются до уровня «сложных паролей». Этого недостаточно.
Защита должна строиться по принципу «предоставь минимальный доступ, но контролируй его максимально». Удалённый рабочий стол, это не функция удобства, которую можно включить в панели управления. Это шлюз, который требует шлюзовой защиты, постоянного мониторинга и осознания того, что его компрометация равносильна потере контроля над ключевыми активами компании. Пересмотр архитектуры доступа с этих позиций — первый и самый эффективный шаг к тому, чтобы 15-минутный сценарий стал технически невозможным.