<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1076

          術語表: /attack/glossary

          遠程桌面協議

          遠程桌面是操作系統中的一個常見功能。它允許用戶使用遠程系統上的系統桌面圖形用戶界面登錄到交互式會話。Microsoft 將其遠程桌面協議 (Remote Desktop Protocol, RDP) 的實現稱為遠程桌面服務 (Remote Desktop Services, RDS)。還有其他實現和第三方工具提供類似于 RDS 的圖形化遠程服務訪問。

          如果啟用了該服務并允許訪問具有已知憑據的帳戶,則攻擊者可以通過 RDP/RDS 連接到遠程系統以擴展訪問。-攻擊者可能會使用憑據訪問技術來獲取與 RDP 結合使用的憑據。攻擊者也可以將 RDP 與可訪問性特性技術 (Accessibility Features) 結合使用以實現持久性。

          攻擊者也可以執行 RDP 會話劫持,包括竊取合法用戶的遠程會話。通常,當其他人試圖竊取用戶的會話時,(系統)會通知用戶并提出一個問題。有了系統權限,攻擊者可以使用終端服務控制臺 c:32.exe[會話號被竊取] 劫持會話而不需要憑據,也沒有給用戶的提示。這可以結合活動會話或已斷開的會話遠程或本地完成。它還可以通過竊取域管理員或更高權限的帳戶會話來導致遠程系統發現和權限升級。所有這些都可以通過使用本機 Windows 命令來完成,但 RedSnarf 也有這個功能。

          緩解

          如果不需要,禁用 RDP 服務,從遠程桌面用戶組中刪除不必要的帳戶和組,并啟用防火墻規則以阻止網絡安全區之間的 RDP 通信。 定期審核遠程桌面用戶組成員身份。 從允許通過 RDP 登錄的組列表中刪除本地管理員組。 如果需要遠程訪問,請限制遠程用戶權限。 遠程登錄使用遠程桌面網關和多因素身份驗證。 不允許通過 Internet 訪問 RDP。 更改 GPO 以定義更短的超時會話和任何單個會話處于活躍狀態最長時間。 更改 GPO 以指定斷開的會話在 RD 會話主機服務器上保持活躍狀態的最長時間。

          檢測

          RDP 的使用可能是合法的,具體取決于網絡環境及其使用方式。 其他因素可以表明 RDP 存在可疑或惡意行為,如遠程登錄后發生的訪問模式和活動, 監視登錄到系統且通常不會訪問系統的用戶,還有在較短的時間內訪問多個系統的模式。 另外,啟動進程監控 tscon.exe 的使用,并監控在其參數中使用 cmd.exe /kcmd.exe /c 的服務創建,以防止 RDP 會話劫持。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看