Elenco di Controllo per l'Audit di Sicurezza RDP: 12 Elementi da Correggere Prima del Prossimo Pentest
RDP (Remote Desktop Protocol) compare nella fase di accesso iniziale di quasi ogni importante incidente ransomware. Porta 3389 esposta, credenziali deboli, nessun MFA — gli attaccanti conoscono il copione. Il prossimo test di penetrazione troverà questi problemi se non li avete già affrontati. Questo elenco di controllo vi dice esattamente cosa correggere e come.
L'Elenco di Controllo di 12 Elementi
Lavorate su questi in ordine. Gli elementi 1–3 sono critici; affrontateli prima di qualsiasi altra cosa.
1. Porta RDP esposta (3389) direttamente su Internet
Problema: I vostri server Windows accettano connessioni RDP sulla porta 3389 da Internet pubblico.
Rischio: Gli attaccanti scansionano continuamente la porta 3389 aperta. Entro poche ore che un nuovo server è online, sta ricevendo attacchi di brute-force e credential-stuffing. Questo è il vettore di accesso iniziale ransomware più comune negli ambienti aziendali.
Soluzione: Rimuovete la regola del firewall che consente RDP in ingresso da Internet. Accedete ai server Windows solo attraverso una soluzione PAM (come VaultPAM) che intermedia la sessione — la porta RDP rimane chiusa sul server e la connessione viene stabilita in uscita attraverso il Connector.
2. Credenziali admin condivise tra server
Problema: Il vostro team utilizza un account Administrator condiviso (o admin, o un singolo account nominato) su più server, e più persone conoscono la password.
Rischio: Quando una persona se ne va, affrontate la scelta impossibile di ruotare la password e interrompere tutti gli altri, oppure lasciare intatto l'accesso dell'ex dipendente. Quando avete un incidente, non potete determinare chi ha eseguito quale azione perché tutta l'attività è attribuita a un account condiviso.
Soluzione: Passate a account nominati individuali per tutti gli accessi privilegiati. Utilizzate un vault di credenziali per archiviare e ruotare automaticamente le credenziali del server. Utilizzate il session brokering in modo che gli utenti si connettano senza ricevere la password effettiva — il vault la contiene.
3. Nessun MFA sui account privilegiati
Problema: Gli amministratori si autenticano ai sistemi di produzione solo con nome utente e password.
Rischio: Una singola email di phishing, un dump di credenziali o una password riutilizzata danno a un attaccante accesso amministrativo completo. MFA è il singolo controllo di impatto più elevato per arrestare gli attacchi basati su credenziali.
Soluzione: Richiedete TOTP (Google Authenticator, Authy) o token hardware (YubiKey, Touch ID, Windows Hello) per ogni account privilegiato. Verificate l'applicazione — i documenti di policy non contano; dimostrate che un tentativo di login senza MFA viene rifiutato.
4. Nessuna registrazione delle sessioni
Problema: Quando si verificano sessioni privilegiate, non c'è alcun record di ciò che è accaduto all'interno della sessione.
Rischio: La forensica post-incidente è impossibile. Gli auditor non possono verificare quali azioni sono state intraprese. Le minacce insider non lasciano alcuna traccia di evidenza. Gli attaccanti ransomware che abusano delle credenziali admin non possono essere tracciati oltre l'evento di login.
Soluzione: Instraddare tutte le sessioni privilegiate attraverso una soluzione PAM che registra video completo delle sessioni e log di attività (comandi eseguiti, file trasferiti, contenuti della clipboard). Archiviate le registrazioni con integrità antimanomissione (hash chain) per almeno 12 mesi.
5. Privilegi admin permanenti (nessun accesso JIT)
Problema: Gli amministratori hanno accesso privilegiato 24/7/365 ai sistemi di produzione, anche quando non stanno eseguendo un'attività amministrativa.
Rischio: Un attaccante che compromette la workstation o le credenziali di un amministratore ha accesso immediato e persistente alla produzione. La superficie di attacco è sempre massima.
Soluzione: Implementate l'accesso Just-in-Time (JIT). I privilegi vengono concessi per un'attività e una finestra temporale specifiche, quindi revocati automaticamente. Tra le attività, l'account non ha accesso privilegiato — o non ha alcun account attivo.
6. Nessun inoltro di log di audit
Problema: I log degli eventi del server (Windows Event Log, Linux auth log) rimangono sul server dove possono essere cancellati da un attaccante che ottiene accesso amministrativo.
Rischio: Un attaccante con accesso admin può cancellare i log e cancellare le prove della sua presenza. Durante la risposta agli incidenti, dati forensici critici potrebbero mancare.
Soluzione: Inoltrate tutti gli eventi di accesso privilegiato a un SIEM centralizzato o a un archivio di log immutabile immediatamente dopo la generazione. Assicuratevi che l'inoltro del log sia eseguito come servizio che non può essere interrotto senza attivare un avviso.
7. Credenziali non ruotate in vault condivisi o fogli di calcolo
Problema: Le password di produzione sono archiviate in un foglio di calcolo condiviso, un gestore di password condiviso con più utenti, o uno strumento di documentazione IT — e non sono state ruotate da mesi o anni.
Rischio: Ogni persona che ha mai avuto accesso a quel foglio di calcolo o gestore di password è una minaccia potenziale. Le credenziali condivise in testo semplice sono credenziali che inevitabilmente perderanno.
Soluzione: Spostate tutte le credenziali di produzione in un vault con rotazione automatica. Impostate programmi di rotazione appropriati alla sensibilità (giornaliera per gli account di produzione critici, settimanale per gli altri). Configurate il vault per ruotare le credenziali dopo ogni checkout.
8. Nessun flusso di lavoro di approvazione per target sensibili
Problema: Qualsiasi amministratore può accedere a qualsiasi server in qualsiasi momento senza che una seconda persona lo sappia o lo approvi.
Rischio: Il movimento laterale di una minaccia insider o di un account admin compromesso è incontrollato. Le modifiche accidentali ai sistemi critici non hanno il controllo di un secondo paio di occhi.
Soluzione: Implementate flussi di lavoro di approvazione per i vostri cinque target di produzione più sensibili. Le richieste di accesso richiedono un'approvazione documentata da una seconda persona autorizzata prima dell'inizio della sessione. VaultPAM registra la richiesta, l'approvazione e ogni azione intrapresa durante la sessione approvata.
9. Nomi di account admin predefiniti (Administrator, admin, root)
Problema: I vostri server utilizzano i nomi di account amministratore predefiniti incorporati.
Rischio: Gli attacchi di credential-stuffing prendono di mira i nomi di account predefiniti perché sono prevedibili. Ogni server Windows ha un account Administrator; gli attaccanti sanno di provarlo per primo.
Soluzione: Rinominate l'account Administrator incorporato di Windows su tutti i server. Su Linux, disabilitate l'accesso SSH diretto da root (PermitRootLogin no in sshd_config). Create account amministrativi nominati per l'uso legittimo. Archiviate le credenziali in un vault.
10. Nessun timeout su sessioni inattive
Problema: Le sessioni RDP rimangono attive indefinitamente quando l'utente si allontana dalla sua scrivania senza bloccare o disconnettersi.
Rischio: Una sessione attiva incustodita è una porta aperta. Tailgating fisico o accesso remoto alla workstation dell'admin dà accesso completo a ogni sistema a cui l'admin è connesso.
Soluzione: Configurate i criteri di timeout della sessione — disconnettete le sessioni inattive dopo 15 minuti, disconnettete le sessioni disconnesse dopo 30 minuti. Applicate sia a livello di client (GPO) che a livello di server. VaultPAM applica i timeout delle sessioni al livello PAM indipendentemente dalla configurazione del client.
11. Controllo dell'accesso solo VPN (nessun livello PAM)
Problema: Il vostro modello di controllo dell'accesso è: "se siete sulla VPN, potete RDP su qualsiasi server per il quale avete credenziali."
Rischio: VPN è il controllo dell'accesso a livello di rete. Non limita quali server un utente può raggiungere, non applica il principio del minimo privilegio, non registra le sessioni e non richiede MFA per sessione. Una credenziale VPN compromessa dà a un attaccante accesso all'intera rete interna.
Soluzione: Aggiungete un livello PAM sopra la VPN (o sostituite completamente l'accesso basato su VPN). Gli utenti si autenticano nella soluzione PAM, che applica l'accesso basato su policy a target specifici, richiede MFA e registra ogni sessione. I server target non sono raggiungibili dalla VPN — solo dal Connector PAM.
12. Nessun processo di revisione dell'accesso
Problema: I diritti di accesso privilegiato vengono concessi ma mai revisionati. Gli utenti accumulano accesso nel tempo; coloro che se ne vanno possono mantenere l'accesso per mesi dopo la partenza.
Rischio: Il privilege creep è un risultato di audit principale e un rischio di sicurezza reale. Gli account dormienti con accesso privilegiato sono target di alto valore — gli attaccanti cercano account che non hanno effettuato l'accesso di recente (nessuno li sta osservando).
Soluzione: Implementate un processo di revisione dell'accesso trimestrale. Esportate l'elenco completo degli account privilegiati e dei loro diritti di accesso. Fate in modo che un revisore designato confermi che ogni accesso è ancora necessario e appropriatamente scoped. Revocate l'accesso che non può essere giustificato. Documentate la revisione con data, nome del revisore e risultato.
Da Dove Iniziare
Se vi state preparando per un pentest, date priorità agli elementi 1, 2 e 3 prima — sono i risultati più probabili di accesso iniziale e il rischio più elevato. Gli elementi 4, 5 e 6 sono i risultati post-sfruttamento più probabili. Gli elementi 7–12 sono i risultati di audit di conformità più comuni.
Tutti e 12 gli elementi sono affrontati dalla distribuzione di una soluzione PAM. L'elenco dei risultati del pentest non si accorcia nel tempo senza uno — si allunga man mano che il vostro ambiente cresce.
VaultPAM affronta tutti e 12 questi elementi in un'implementazione di un pomeriggio. Nessun agente da installare. Nessuna modifica al firewall necessaria. Le sessioni vengono intermedie attraverso Connector solo in uscita; la porta 3389 rimane chiusa.
Inizia Prova Gratuita — scopri come VaultPAM elimina i principali risultati RDP pentest dal tuo ambiente.