很多企業(yè)都依賴RDP來(lái)保證公司業(yè)務(wù)的不間斷運(yùn)行���。
RDP(Remote Desktop Protocol)是微軟公司開(kāi)發(fā)的一種網(wǎng)絡(luò)通信協(xié)議���,它為大多數(shù)Windows操作系統(tǒng)提供了一個(gè)圖形界面�����,使用戶能夠遠(yuǎn)程連接到服務(wù)器或另一臺(tái)計(jì)算機(jī)�����。
RDP將遠(yuǎn)程服務(wù)器的顯示傳輸?shù)娇蛻魴C(jī)�,并將外設(shè)(如鍵盤和鼠標(biāo))的輸入從客戶機(jī)傳輸?shù)竭h(yuǎn)程服務(wù)器�,有效地允許用戶控制遠(yuǎn)程計(jì)算機(jī),就像他們親自操作它一樣。
然而,很多企業(yè)并沒(méi)有足夠的時(shí)間和資源來(lái)安全地配置RDP�,倉(cāng)促的轉(zhuǎn)為遠(yuǎn)程辦公�����,可能正在為勒索軟件集團(tuán)提供攻擊的機(jī)會(huì)。
根據(jù)McAfee的一份報(bào)告,暴露在互聯(lián)網(wǎng)上的RDP端口數(shù)量從2020年1月份的300萬(wàn)個(gè)增加激增到今年3月的450萬(wàn)個(gè)���。
如何保護(hù)RDP不受勒索軟件的攻擊,希望達(dá)到拋磚引玉的作用。
在專用網(wǎng)絡(luò)中使用RDP通常被認(rèn)為是一個(gè)安全可靠的工具���。
然而,當(dāng)RDP端口對(duì)Internet開(kāi)放時(shí)�����,可能會(huì)出現(xiàn)嚴(yán)重的問(wèn)題,因?yàn)樗试S任何人嘗試連接到遠(yuǎn)程服務(wù)器。
如果連接成功�,攻擊者將獲得訪問(wèn)服務(wù)器的權(quán)限�,并可以在被黑帳戶的權(quán)限內(nèi)做任何事情�。
RDP可以通過(guò)多種方式加以利用,主要有以下四種方式:掃描暴露的RDP端口:攻擊者使用免費(fèi)的、簡(jiǎn)單易用的端口掃描工具,如Shodan�,來(lái)掃描整個(gè)Internet以獲取暴露的RDP端口���。
嘗試登錄:攻擊者通過(guò)暴力破解用戶名和密碼���,地下市場(chǎng)購(gòu)買肉雞�����,或者有針對(duì)的采用社會(huì)工程的方式登錄�����。
破壞系統(tǒng)安全性:一旦攻擊者完成提權(quán)�����,他們就會(huì)集中精力使網(wǎng)絡(luò)盡可能不安全。
如禁用防病毒軟件�����、刪除備份和更改通常被鎖定的配置設(shè)置�����、修改日志等�����。
威脅后利用:接觸系統(tǒng)安全性后,便可以部署勒索軟件���、部署鍵盤記錄器、使用肉雞分發(fā)垃圾郵件、竊取敏感數(shù)據(jù)�����,或者安裝后門等等�,用于以后的攻擊。
確保RDP安全的8種常見(jiàn)做法首先第一點(diǎn),除非必要,否則應(yīng)該始終禁用RDP�。
對(duì)于特別需要使用RDP的企業(yè)�����,以下是工作中防止RDP被暴力攻擊的幾種方法���。
1.使用VPN如前所述�,當(dāng)RDP對(duì)Internet開(kāi)放時(shí)會(huì)產(chǎn)生嚴(yán)重的安全風(fēng)險(xiǎn)。
相反�����,組織應(yīng)該使用VPN來(lái)允許遠(yuǎn)程用戶安全地訪問(wèn)公司網(wǎng)絡(luò)���,而不將他們的系統(tǒng)暴露給整個(gè)Internet���。
2.設(shè)置強(qiáng)密碼大多數(shù)基于RDP的攻擊依賴于暴力破解�。
因此,企業(yè)必須在所有RDP客戶端和服務(wù)器終端上強(qiáng)制使用強(qiáng)密碼�����,密碼長(zhǎng)�、唯一、隨機(jī)�����。
3.使用多種認(rèn)證即使是最強(qiáng)大的密碼也可能被泄露。
這時(shí)�,MFA(Multi-Factor Authentication)提供了另外一層保護(hù)�����。
啟用 MFA 后,用戶登錄RDP�,系統(tǒng)要求輸入用戶名和密碼�,然后要求輸入來(lái)自其 MFA 設(shè)備的動(dòng)態(tài)驗(yàn)證碼�,MFA 設(shè)備可以基于硬件也可以基于軟件���。
4.使用防火墻來(lái)限制訪問(wèn)可以使用防火墻來(lái)限制RDP對(duì)特定IP地址或IP地址范圍的訪問(wèn)���。
5.使用RD網(wǎng)關(guān)Windows server 2008以后的版本�����,都可以使用RD網(wǎng)關(guān)服務(wù)器�����,它使用端口 443,可通過(guò)安全套接字層 (SSL) 隧道傳輸數(shù)據(jù)�。
6.封IP短時(shí)間內(nèi)多次的登錄嘗試失敗���,通常表明正在進(jìn)行暴力攻擊���。
Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數(shù)�。
7.合理分配遠(yuǎn)程訪問(wèn)權(quán)限雖然所有管理員在默認(rèn)情況下都可以使用RDP���,但許多用戶不需要遠(yuǎn)程訪問(wèn)也能完成他們的工作�。
企業(yè)應(yīng)該始終遵循“最小特權(quán)”的原則,將RDP訪問(wèn)權(quán)分配給真正需要的人�����。
8.更改RDP監(jiān)聽(tīng)端口攻擊者通常通過(guò)掃描Internet以確定監(jiān)聽(tīng)默認(rèn)RDP端口(TCP 3389)的計(jì)算機(jī)來(lái)識(shí)別潛在目標(biāo)�����。
雖然通過(guò)Windows注冊(cè)表更改監(jiān)聽(tīng)端口可以幫助企業(yè)“隱藏”脆弱的連接,但種方法只是一種規(guī)避策略,并不具備防護(hù)性�����,應(yīng)該算作一種補(bǔ)充技術(shù)吧���。
