很多企業(yè)都依賴RDP來保證公司業(yè)務(wù)的不間斷運(yùn)行。

RDP（Remote Desktop Protocol）是微軟公司開發(fā)的一種網(wǎng)絡(luò)通信協(xié)議，它為大多數(shù)Windows操作系統(tǒng)提供了一個(gè)圖形界面，使用戶能夠遠(yuǎn)程連接到服務(wù)器或另一臺計(jì)算機(jī)。

RDP將遠(yuǎn)程服務(wù)器的顯示傳輸?shù)娇蛻魴C(jī)，并將外設(shè)(如鍵盤和鼠標(biāo))的輸入從客戶機(jī)傳輸?shù)竭h(yuǎn)程服務(wù)器，有效地允許用戶控制遠(yuǎn)程計(jì)算機(jī)，就像他們親自操作它一樣。

然而，很多企業(yè)并沒有足夠的時(shí)間和資源來安全地配置RDP，倉促的轉(zhuǎn)為遠(yuǎn)程辦公，可能正在為勒索軟件集團(tuán)提供攻擊的機(jī)會。

根據(jù)McAfee的一份報(bào)告，暴露在互聯(lián)網(wǎng)上的RDP端口數(shù)量從2020年1月份的300萬個(gè)增加激增到今年3月的450萬個(gè)。

如何保護(hù)RDP不受勒索軟件的攻擊，希望達(dá)到拋磚引玉的作用。

在專用網(wǎng)絡(luò)中使用RDP通常被認(rèn)為是一個(gè)安全可靠的工具。

然而，當(dāng)RDP端口對Internet開放時(shí)，可能會出現(xiàn)嚴(yán)重的問題，因?yàn)樗试S任何人嘗試連接到遠(yuǎn)程服務(wù)器。

如果連接成功，攻擊者將獲得訪問服務(wù)器的權(quán)限，并可以在被黑帳戶的權(quán)限內(nèi)做任何事情。

RDP可以通過多種方式加以利用，主要有以下四種方式：掃描暴露的RDP端口：攻擊者使用免費(fèi)的、簡單易用的端口掃描工具，如Shodan，來掃描整個(gè)Internet以獲取暴露的RDP端口。

嘗試登錄：攻擊者通過暴力破解用戶名和密碼，地下市場購買肉雞，或者有針對的采用社會工程的方式登錄。

破壞系統(tǒng)安全性：一旦攻擊者完成提權(quán)，他們就會集中精力使網(wǎng)絡(luò)盡可能不安全。

如禁用防病毒軟件、刪除備份和更改通常被鎖定的配置設(shè)置、修改日志等。

威脅后利用：接觸系統(tǒng)安全性后，便可以部署勒索軟件、部署鍵盤記錄器、使用肉雞分發(fā)垃圾郵件、竊取敏感數(shù)據(jù)，或者安裝后門等等，用于以后的攻擊。

確保RDP安全的8種常見做法首先第一點(diǎn)，除非必要，否則應(yīng)該始終禁用RDP。

對于特別需要使用RDP的企業(yè)，以下是工作中防止RDP被暴力攻擊的幾種方法。

1.使用VPN如前所述，當(dāng)RDP對Internet開放時(shí)會產(chǎn)生嚴(yán)重的安全風(fēng)險(xiǎn)。

相反，組織應(yīng)該使用VPN來允許遠(yuǎn)程用戶安全地訪問公司網(wǎng)絡(luò)，而不將他們的系統(tǒng)暴露給整個(gè)Internet。

2.設(shè)置強(qiáng)密碼大多數(shù)基于RDP的攻擊依賴于暴力破解。

因此，企業(yè)必須在所有RDP客戶端和服務(wù)器終端上強(qiáng)制使用強(qiáng)密碼，密碼長、唯一、隨機(jī)。

3.使用多種認(rèn)證即使是最強(qiáng)大的密碼也可能被泄露。

這時(shí)，MFA（Multi-Factor Authentication）提供了另外一層保護(hù)。

啟用 MFA 后，用戶登錄RDP，系統(tǒng)要求輸入用戶名和密碼，然后要求輸入來自其 MFA 設(shè)備的動態(tài)驗(yàn)證碼，MFA 設(shè)備可以基于硬件也可以基于軟件。

4.使用防火墻來限制訪問可以使用防火墻來限制RDP對特定IP地址或IP地址范圍的訪問。

5.使用RD網(wǎng)關(guān)Windows server 2008以后的版本，都可以使用RD網(wǎng)關(guān)服務(wù)器，它使用端口 443，可通過安全套接字層 (SSL) 隧道傳輸數(shù)據(jù)。

6.封IP短時(shí)間內(nèi)多次的登錄嘗試失敗，通常表明正在進(jìn)行暴力攻擊。

Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數(shù)。

7.合理分配遠(yuǎn)程訪問權(quán)限雖然所有管理員在默認(rèn)情況下都可以使用RDP，但許多用戶不需要遠(yuǎn)程訪問也能完成他們的工作。

企業(yè)應(yīng)該始終遵循“最小特權(quán)”的原則，將RDP訪問權(quán)分配給真正需要的人。

8.更改RDP監(jiān)聽端口攻擊者通常通過掃描Internet以確定監(jiān)聽默認(rèn)RDP端口(TCP 3389)的計(jì)算機(jī)來識別潛在目標(biāo)。

雖然通過Windows注冊表更改監(jiān)聽端口可以幫助企業(yè)“隱藏”脆弱的連接，但種方法只是一種規(guī)避策略，并不具備防護(hù)性，應(yīng)該算作一種補(bǔ)充技術(shù)吧。