Después de la reciente vulnerabilidad crítica: ' MS12-020: Vulnerabilidades en el escritorio remoto podrían permitir la ejecución remota de código ' He estado buscando una lista de verificación de refuerzo o en el escenario que soy un administrador de una organización que permite el acceso desde Escritorio remoto, ¿cuáles serían las razones para desactivarlo o cómo implementarlo de forma segura, aparte de la seguridad de la capa de transporte?
La defensa en profundidad, la política de parches, los lotes de auditoría y el discurso de seguridad estándar son un buen punto de partida. El riesgo no es que haya una vulnerabilidad crítica, sino que tiene mecanismos para evitar o detectar el acceso no autorizado. Existen vulnerabilidades conocidas y explotadas mucho antes de que se asigne un código de seguimiento (MS, CVE, BugTraq).
El Centro de Seguridad de Internet publica listas de verificación de fortalecimiento para varios dispositivos. Probablemente hay otras organizaciones que publican listas de verificación similares también.
Puede deshabilitar RDP fácilmente, pero eso no necesariamente aumenta su postura de seguridad (por ejemplo, si está ejecutando una versión vulnerable / no parchada de IIS con un paquete de exploit disponible públicamente). Protegerse contra 0day es un poco más difícil, pero hay formas de detectar la intrusión y prevenir la exfiltración de datos.
Lea otras preguntas en las etiquetas encryption hardening known-vulnerabilities remote-desktop