很多企業(yè)都依賴RDP來保證公司業(yè)務(wù)的不間斷運行��。
RDP(Remote Desktop Protocol)是微軟公司開發(fā)的一種網(wǎng)絡(luò)通信協(xié)議,它為大多數(shù)Windows操作系統(tǒng)提供了一個圖形界面,使用戶能夠遠(yuǎn)程連接到服務(wù)器或另一臺計算機(jī)�����。
RDP將遠(yuǎn)程服務(wù)器的顯示傳輸?shù)娇蛻魴C(jī)�����,并將外設(shè)(如鍵盤和鼠標(biāo))的輸入從客戶機(jī)傳輸?shù)竭h(yuǎn)程服務(wù)器,有效地允許用戶控制遠(yuǎn)程計算機(jī),就像他們親自操作它一樣��。
然而����,很多企業(yè)并沒有足夠的時間和資源來安全地配置RDP,倉促的轉(zhuǎn)為遠(yuǎn)程辦公,可能正在為勒索軟件集團(tuán)提供攻擊的機(jī)會�����。
根據(jù)McAfee的一份報告����,暴露在互聯(lián)網(wǎng)上的RDP端口數(shù)量從2020年1月份的300萬個增加激增到今年3月的450萬個。
如何保護(hù)RDP不受勒索軟件的攻擊,希望達(dá)到拋磚引玉的作用����。
在專用網(wǎng)絡(luò)中使用RDP通常被認(rèn)為是一個安全可靠的工具。
然而����,當(dāng)RDP端口對Internet開放時��,可能會出現(xiàn)嚴(yán)重的問題,因為它允許任何人嘗試連接到遠(yuǎn)程服務(wù)器�����。
如果連接成功��,攻擊者將獲得訪問服務(wù)器的權(quán)限��,并可以在被黑帳戶的權(quán)限內(nèi)做任何事情。
RDP可以通過多種方式加以利用����,主要有以下四種方式:掃描暴露的RDP端口:攻擊者使用免費的����、簡單易用的端口掃描工具,如Shodan,來掃描整個Internet以獲取暴露的RDP端口����。
嘗試登錄:攻擊者通過暴力破解用戶名和密碼����,地下市場購買肉雞�����,或者有針對的采用社會工程的方式登錄�����。
破壞系統(tǒng)安全性:一旦攻擊者完成提權(quán)����,他們就會集中精力使網(wǎng)絡(luò)盡可能不安全。
如禁用防病毒軟件�����、刪除備份和更改通常被鎖定的配置設(shè)置�����、修改日志等��。
威脅后利用:接觸系統(tǒng)安全性后,便可以部署勒索軟件��、部署鍵盤記錄器��、使用肉雞分發(fā)垃圾郵件��、竊取敏感數(shù)據(jù),或者安裝后門等等�����,用于以后的攻擊����。
確保RDP安全的8種常見做法首先第一點,除非必要��,否則應(yīng)該始終禁用RDP�����。
對于特別需要使用RDP的企業(yè),以下是工作中防止RDP被暴力攻擊的幾種方法。
1.使用VPN如前所述,當(dāng)RDP對Internet開放時會產(chǎn)生嚴(yán)重的安全風(fēng)險�����。
相反��,組織應(yīng)該使用VPN來允許遠(yuǎn)程用戶安全地訪問公司網(wǎng)絡(luò)����,而不將他們的系統(tǒng)暴露給整個Internet�����。
2.設(shè)置強密碼大多數(shù)基于RDP的攻擊依賴于暴力破解����。
因此�����,企業(yè)必須在所有RDP客戶端和服務(wù)器終端上強制使用強密碼�����,密碼長����、唯一����、隨機(jī)。
3.使用多種認(rèn)證即使是最強大的密碼也可能被泄露�����。
這時�����,MFA(Multi-Factor Authentication)提供了另外一層保護(hù)。
啟用 MFA 后�����,用戶登錄RDP����,系統(tǒng)要求輸入用戶名和密碼,然后要求輸入來自其 MFA 設(shè)備的動態(tài)驗證碼,MFA 設(shè)備可以基于硬件也可以基于軟件�����。
4.使用防火墻來限制訪問可以使用防火墻來限制RDP對特定IP地址或IP地址范圍的訪問��。
5.使用RD網(wǎng)關(guān)Windows server 2008以后的版本����,都可以使用RD網(wǎng)關(guān)服務(wù)器����,它使用端口 443,可通過安全套接字層 (SSL) 隧道傳輸數(shù)據(jù)。
6.封IP短時間內(nèi)多次的登錄嘗試失敗,通常表明正在進(jìn)行暴力攻擊��。
Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數(shù)����。
7.合理分配遠(yuǎn)程訪問權(quán)限雖然所有管理員在默認(rèn)情況下都可以使用RDP��,但許多用戶不需要遠(yuǎn)程訪問也能完成他們的工作��。
企業(yè)應(yīng)該始終遵循“最小特權(quán)”的原則,將RDP訪問權(quán)分配給真正需要的人��。
8.更改RDP監(jiān)聽端口攻擊者通常通過掃描Internet以確定監(jiān)聽默認(rèn)RDP端口(TCP 3389)的計算機(jī)來識別潛在目標(biāo)�����。
雖然通過Windows注冊表更改監(jiān)聽端口可以幫助企業(yè)“隱藏”脆弱的連接����,但種方法只是一種規(guī)避策略����,并不具備防護(hù)性,應(yīng)該算作一種補充技術(shù)吧��。
