Ngày 14/02/2019, Hệ thống giám sát virus của Bkav đã phát đi cảnh báo về một chiến dịch tấn công mã độc tống tiền có chủ đích của các tin tặc nước ngoài nhằm vào các máy chủ công cộng tại Việt Nam. Đặc biệt, trong chiến dịch này, tin tặc chỉ tấn công các máy chủ, khác với các mã độc mã hóa dữ liệu trước đây thường nhắm vào các máy trạm. Theo ước tính của Bkav, số nạn nhân có thể đã lên đến hàng trăm cơ quan, tổ chức.
Để ngăn chặn mã độc tống tiền này, các chủ quản hạ tầng CNTT cần cài đặt và cập nhật phần mềm diệt virus uy tín. Đồng thời, lên kế hoạch rà soát ngay toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ được công khai trên Internet. Bên cạnh đó, cần tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết, giới hạn quyền truy cập, cấu hình chỉ cho cho phép các IP cố định, biết trước được phép điều khiển. Ngoài ra, quản trị viên có thể thực hiện theo hướng dẫn cấu hình remote desktop an toàn dưới đây.
Sử dụng tên tài khoản và mật khẩu mạnh
Thay vì đặt tên tài khoản là tên bản thân, bạn bè, gia đình… hoặc mặc định như “admin” thì nên sử dụng tên tài khoản khác. Một mật khẩu mạnh phải đáp ứng được các yêu cầu như sau: từ 8 ký tự trở lên; chứa các ký tự từ ít nhất 2 trong 3 trường ký tự như sau: chữ cái (a à z, A à Z), chữ số (0 à 9), các ký tự đặc biệt (! @ # $ % ^ & * ( ) _ + | ~ - = \ ` { } [ ] : " ; ' < > ? , /). Mật khẩu không nên bao gồm tên tài khoản, các cụm từ xuất hiện trong từ điển và đánh vần ngược. Các hệ thống nhiều người dùng phải được cấu hình theo những yêu cầu này và phải thay đổi mật khẩu được cấp khi truy cập lần đầu.
Giới hạn số lần đăng nhập sai
Các cuộc tấn công sử dụng giao thức điều khiển máy tính từ xa (RDP) cần phải tốn hàng ngàn hay hàng triệu lần đăng nhập liên tục. Vì vậy, để tăng thời gian thực hiện tấn công lên rất nhiều lần, cần cấu hình khóa tài khoản sau một số lần đăng nhập sai trong một khoảng thời gian nhất định.
Để thiết lập giới hạn số lần đăng nhập sai trong Windows, cần thực hiện như sau: truy cập Administrative Tools theo đường dẫn Control Panel\System and Security\Administrative Tools, mở Local Security Policy, chọn tab Account Policies, mở tab Account Lockout Policy, kích hoạt giới hạn số lần đăng nhập sai tại Account Lockout Threshold. Tại đây, chỉnh thời gian khóa tại tab Account Lockout Duration.
Hình 1. Ứng dụng Administrative Tools
Hình 2. Chỉnh thời gian khóa tại tab Account Lockout Duration
Thay đổi cổng RDP
Khi quét các máy chủ, tin tặc thường tìm kiếm các kết nối sử dụng cổng RDP mặc định (TCP 3389). Do đó, có thể ẩn các kết nối RDP của người dùng bằng cách thay đổi sang cổng khác. Tuy nhiên, cần lưu ý tránh xung đột cổng kết nối với phần mềm khác (như cổng 80 HTTP, cổng 443 HTTPS…). Cách thực hiện như sau: mở ứng dụng Run trong Start menu (hoặc nhấn Windows + R), điền regedit vào box tìm kiếm để mở ứng dụng Registry Editor, rồi tìm đến đường dẫn: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp, nhấp đúp chuột vào PortNumber và chọn Decimal, sau đó nhập vào số port cần thay đổi ở mục Value data.
Hình 3. Thay đổi cổng RDP qua ứng dụng Registry Editor
Triển khai giải pháp đảm bảo an toàn khi truy cập từ xa
Nếu cần sử dụng dich vụ remote desktop để truy cập quản trị máy chủ từ xa, cần ưu tiên sử dụng kênh kết nối an toàn VPN - có thể triển khai trên các hệ thống Windows Server hoặc các thiết bị tường lửa chuyên dụng.