很多企業(yè)都依賴RDP來保證公司業(yè)務(wù)的不間斷運(yùn)行。
RDP(Remote Desktop Protocol)是微軟公司開發(fā)的一種網(wǎng)絡(luò)通信協(xié)議,它為大多數(shù)Windows操作系統(tǒng)提供了一個(gè)圖形界面����,使用戶能夠遠(yuǎn)程連接到服務(wù)器或另一臺(tái)計(jì)算機(jī)。
RDP將遠(yuǎn)程服務(wù)器的顯示傳輸?shù)娇蛻魴C(jī)�,并將外設(shè)(如鍵盤和鼠標(biāo))的輸入從客戶機(jī)傳輸?shù)竭h(yuǎn)程服務(wù)器��,有效地允許用戶控制遠(yuǎn)程計(jì)算機(jī)�����,就像他們親自操作它一樣。
然而����,很多企業(yè)并沒有足夠的時(shí)間和資源來安全地配置RDP,倉(cāng)促的轉(zhuǎn)為遠(yuǎn)程辦公,可能正在為勒索軟件集團(tuán)提供攻擊的機(jī)會(huì)��。
根據(jù)McAfee的一份報(bào)告��,暴露在互聯(lián)網(wǎng)上的RDP端口數(shù)量從2020年1月份的300萬個(gè)增加激增到今年3月的450萬個(gè)�����。
如何保護(hù)RDP不受勒索軟件的攻擊���,希望達(dá)到拋磚引玉的作用�����。
在專用網(wǎng)絡(luò)中使用RDP通常被認(rèn)為是一個(gè)安全可靠的工具。
然而��,當(dāng)RDP端口對(duì)Internet開放時(shí)�,可能會(huì)出現(xiàn)嚴(yán)重的問題,因?yàn)樗试S任何人嘗試連接到遠(yuǎn)程服務(wù)器�����。
如果連接成功���,攻擊者將獲得訪問服務(wù)器的權(quán)限��,并可以在被黑帳戶的權(quán)限內(nèi)做任何事情��。
RDP可以通過多種方式加以利用,主要有以下四種方式:掃描暴露的RDP端口:攻擊者使用免費(fèi)的、簡(jiǎn)單易用的端口掃描工具�����,如Shodan�����,來掃描整個(gè)Internet以獲取暴露的RDP端口。
嘗試登錄:攻擊者通過暴力破解用戶名和密碼,地下市場(chǎng)購(gòu)買肉雞�,或者有針對(duì)的采用社會(huì)工程的方式登錄��。
破壞系統(tǒng)安全性:一旦攻擊者完成提權(quán),他們就會(huì)集中精力使網(wǎng)絡(luò)盡可能不安全。
如禁用防病毒軟件、刪除備份和更改通常被鎖定的配置設(shè)置、修改日志等���。
威脅后利用:接觸系統(tǒng)安全性后,便可以部署勒索軟件、部署鍵盤記錄器���、使用肉雞分發(fā)垃圾郵件、竊取敏感數(shù)據(jù),或者安裝后門等等,用于以后的攻擊�����。
確保RDP安全的8種常見做法首先第一點(diǎn)���,除非必要���,否則應(yīng)該始終禁用RDP�����。
對(duì)于特別需要使用RDP的企業(yè)�����,以下是工作中防止RDP被暴力攻擊的幾種方法。
1.使用VPN如前所述��,當(dāng)RDP對(duì)Internet開放時(shí)會(huì)產(chǎn)生嚴(yán)重的安全風(fēng)險(xiǎn)�����。
相反,組織應(yīng)該使用VPN來允許遠(yuǎn)程用戶安全地訪問公司網(wǎng)絡(luò)�,而不將他們的系統(tǒng)暴露給整個(gè)Internet��。
2.設(shè)置強(qiáng)密碼大多數(shù)基于RDP的攻擊依賴于暴力破解。
因此�,企業(yè)必須在所有RDP客戶端和服務(wù)器終端上強(qiáng)制使用強(qiáng)密碼���,密碼長(zhǎng)��、唯一、隨機(jī)�。
3.使用多種認(rèn)證即使是最強(qiáng)大的密碼也可能被泄露��。
這時(shí)�����,MFA(Multi-Factor Authentication)提供了另外一層保護(hù)。
啟用 MFA 后�����,用戶登錄RDP�����,系統(tǒng)要求輸入用戶名和密碼���,然后要求輸入來自其 MFA 設(shè)備的動(dòng)態(tài)驗(yàn)證碼�,MFA 設(shè)備可以基于硬件也可以基于軟件�。
4.使用防火墻來限制訪問可以使用防火墻來限制RDP對(duì)特定IP地址或IP地址范圍的訪問。
5.使用RD網(wǎng)關(guān)Windows server 2008以后的版本,都可以使用RD網(wǎng)關(guān)服務(wù)器�����,它使用端口 443��,可通過安全套接字層 (SSL) 隧道傳輸數(shù)據(jù)。
6.封IP短時(shí)間內(nèi)多次的登錄嘗試失敗�,通常表明正在進(jìn)行暴力攻擊���。
Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數(shù)��。
7.合理分配遠(yuǎn)程訪問權(quán)限雖然所有管理員在默認(rèn)情況下都可以使用RDP,但許多用戶不需要遠(yuǎn)程訪問也能完成他們的工作�。
企業(yè)應(yīng)該始終遵循“最小特權(quán)”的原則�����,將RDP訪問權(quán)分配給真正需要的人。
8.更改RDP監(jiān)聽端口攻擊者通常通過掃描Internet以確定監(jiān)聽默認(rèn)RDP端口(TCP 3389)的計(jì)算機(jī)來識(shí)別潛在目標(biāo)��。
雖然通過Windows注冊(cè)表更改監(jiān)聽端口可以幫助企業(yè)“隱藏”脆弱的連接���,但種方法只是一種規(guī)避策略��,并不具備防護(hù)性����,應(yīng)該算作一種補(bǔ)充技術(shù)吧��。
