遠(yuǎn)程桌面會話在加密通道上運(yùn)行，防止任何人通過監(jiān)聽網(wǎng)絡(luò)來查看您的會話。 但是，在早期版本的 RDP 中用于加密會話的方法存在漏洞。 此漏洞可能允許使用中間人攻擊 (link is external) 未經(jīng)授權(quán)訪問您的會話。

我們可以在 Windows 10、Windows 11 和 Windows Server 2003/2008/2012/2016 中使用 SSL/TLS 保護(hù)遠(yuǎn)程桌面。

雖然遠(yuǎn)程桌面比 VNC 等不加密整個(gè)會話的遠(yuǎn)程軟件更安全，但任何時(shí)候遠(yuǎn)程授予管理員對系統(tǒng)的訪問權(quán)限都存在風(fēng)險(xiǎn)。

為遠(yuǎn)程工作設(shè)置遠(yuǎn)程桌面協(xié)議 (RDP) 的大部分問題都涉及通過公共互聯(lián)網(wǎng)訪問 RDP。 RDP 本身不是一個(gè)安全設(shè)置，因此需要額外的安全措施來保護(hù)工作站和服務(wù)器。 如果沒有適當(dāng)?shù)陌踩珔f(xié)議，組織將面臨多種潛在風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)增加。 這些攻擊的典型目標(biāo)往往是小型企業(yè)，因?yàn)樗鼈兺ǔＨ狈Φ钟晚憫?yīng)這些威脅所需的資源。網(wǎng)絡(luò)罪犯已經(jīng)注意到 RDP 的采用率越來越高，并正在利用這些暴露的服務(wù)器附帶的漏洞。

尋找 RDP 服務(wù)器進(jìn)行利用的威脅參與者也可以毫不費(fèi)力地這樣做。 Shodan 是一種搜索引擎，旨在掃描具有暴露于 Internet 的某些端口或協(xié)議的設(shè)備，已發(fā)現(xiàn)超過 400 萬個(gè) RDP 端口暴露，以及至少 14,000 個(gè)可從 Internet 訪問的 Windows RDP 服務(wù)器。

在許多情況下，具有可公開訪問 Internet 的 RDP 的服務(wù)器未能啟用多因素身份驗(yàn)證 (MFA)。 這意味著通過暴力攻擊暴露弱密碼或重復(fù)使用的密碼來破壞用戶帳戶的攻擊者可以輕松地通過 RDP 訪問用戶的工作站。攻擊者將有可能獲得對組織暴露網(wǎng)絡(luò)的完全訪問權(quán)限。 發(fā)生這種情況是因?yàn)檫@些類型的帳戶由集中式系統(tǒng)在域級別進(jìn)行管理，這意味著所有系統(tǒng)都使用相同的憑據(jù)。

利用這些漏洞只涉及確定訪問系統(tǒng)的帳戶憑據(jù)，因此，即使是最不老練的攻擊者也有能力利用 RDP。 盡管攻擊本身不需要太多技巧，但其影響可能相當(dāng)大。 這些攻擊可能會危及組織的服務(wù)器并導(dǎo)致遠(yuǎn)程訪問服務(wù)的潛在損失。

網(wǎng)絡(luò)威脅行為者為何利用 RDP

由于多種不同的原因，RDP 漏洞是網(wǎng)絡(luò)犯罪分子中流行的、常見的漏洞。 RDP 攻擊的一些最常見目標(biāo)是分布式拒絕服務(wù) (DDoS) 攻擊和勒索軟件交付。

DDoS 攻擊

在分布式拒絕服務(wù) (DDoS) 攻擊中，目標(biāo)是向目標(biāo)網(wǎng)站或服務(wù)器發(fā)送盡可能多的數(shù)據(jù)，以使其不堪重負(fù)并使其離線。 DDoS 攻擊者使用各種不同的方法來實(shí)現(xiàn)這一目標(biāo)，例如大型僵尸網(wǎng)絡(luò)或稱為 DDoS 放大的技術(shù)，它利用發(fā)送比初始請求大得多的響應(yīng)的服務(wù)。 DDoS 攻擊者會偽裝成目標(biāo)向這些服務(wù)發(fā)送流量。 然后，目標(biāo)網(wǎng)站或服務(wù)器被淹沒的數(shù)據(jù)比攻擊者發(fā)送的數(shù)據(jù)多得多。

RDP 服務(wù)器是潛在的 DDoS 放大器，攻擊者可以濫用這些服務(wù)向他們的目標(biāo)發(fā)送大量流量，使他們離線。 針對 RDP 的日益增長的威脅使得組織在其面向 Internet 的系統(tǒng)上安裝反 DDoS 保護(hù)變得至關(guān)重要。

勒索軟件交付

在使用 RDP 獲得對組織網(wǎng)絡(luò)的訪問權(quán)限后，勒索軟件運(yùn)營商便能夠探索網(wǎng)絡(luò)并將勒索軟件植入高價(jià)值平臺 系統(tǒng)。 此外，一些威脅參與者通過在加密受害者的文件之前泄露敏感數(shù)據(jù)來增強(qiáng)他們的勒索軟件策略，然后通過威脅如果不滿足勒索要求就將數(shù)據(jù)發(fā)布到“羞辱網(wǎng)站”來勒索受害者。

利用勒索軟件的便利性激發(fā)了一些勒索軟件團(tuán)伙幾乎完全將其用作攻擊媒介。

保護(hù) RDP 的選項(xiàng)

RDP 是組織安全的重大風(fēng)險(xiǎn)。 存在多種用于保護(hù) RDP 的不同選項(xiàng)，它們在有效性和可用性方面存在顯著差異。

最低效：基于 IP 的訪問列表

保護(hù) RDP 免受攻擊的一種潛在解決方案是限制對 RDP 解決方案的訪問。 這可以通過實(shí)施僅允許來自特定 IP 地址的 RDP 連接的訪問控制列表 (ACL) 來實(shí)現(xiàn)。

雖然這在理論上可行，但實(shí)際上并不是一個(gè)好的解決方案，原因有很多，包括：

可管理性：ACL 要求組織明確定義哪些 IP 地址應(yīng)該和不應(yīng)該被允許訪問 RDP。 對于遠(yuǎn)程員工，如果員工嘗試在不同地點(diǎn)工作或使用動態(tài)分配的 IP 地址，則此列表可能會不斷變化。

外圍焦點(diǎn)：這種 RDP 安全方法側(cè)重于阻止攻擊者對組織網(wǎng)絡(luò)的初始訪問。 但是，如果攻擊者進(jìn)入網(wǎng)絡(luò)內(nèi)部，則沒有什么可以阻止他們橫向移動。

受損的端點(diǎn)：基于 IP 的訪問管理限制了對特定機(jī)器的 RDP 訪問，但沒有采取任何措施來防止這些機(jī)器受到攻擊。 安裝在員工端點(diǎn)上的惡意軟件不會被阻止通過 RDP 連接到企業(yè)網(wǎng)絡(luò)。

有效：虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò) (VPN) 是一種常用的遠(yuǎn)程訪問解決方案。 它們旨在為遠(yuǎn)程用戶和企業(yè)網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量提供加密隧道。 VPN 還支持 MFA 等安全解決方案，有助于減輕帳戶被盜的威脅。

然而，雖然 VPN 是一種常用的解決方案和縱深防御安全措施，但它們存在漏洞，并且經(jīng)常成為試圖部署惡意軟件的網(wǎng)絡(luò)威脅參與者的目標(biāo)。 VPN 用戶必須認(rèn)識到他們固有的弱點(diǎn)，并在提供時(shí)上傳安全補(bǔ)丁升級。

這意味著部署 VPN 基礎(chǔ)設(shè)施可能會在組織的網(wǎng)絡(luò)中產(chǎn)生額外的漏洞。 事實(shí)上，VPN 漏洞是網(wǎng)絡(luò)威脅行為者最常利用的漏洞之一，并且緊隨 RDP 作為勒索軟件交付載體。

最有效：虛擬桌面解決方案

基于 IP 的 ACL 和 VPN 的問題在于它們專注于保護(hù)組織網(wǎng)絡(luò)的初始訪問點(diǎn)。 一種更好的保護(hù)遠(yuǎn)程工作的方法會同時(shí)考慮員工或攻擊者可以遠(yuǎn)程訪問的路由和系統(tǒng)。

保護(hù) RDP 的最佳解決方案是將其與使用單點(diǎn)登錄進(jìn)行用戶身份驗(yàn)證的虛擬桌面解決方案（例如 Splashtop）結(jié)合使用。 借助虛擬桌面解決方案，組織可以實(shí)施 MFA 來控制訪問，并更好地了解和控制可遠(yuǎn)程訪問的端點(diǎn)以及它們存儲、處理和傳輸?shù)臄?shù)據(jù)。 這種增強(qiáng)的可見性和控制有助于防止威脅在網(wǎng)絡(luò)內(nèi)橫向移動，并使實(shí)施安全遠(yuǎn)程訪問變得更加容易。

結(jié)論

使用 RDP 的組織有可能存在許多漏洞或機(jī)會被不良行為者利用。企業(yè)可以選擇使用 Splashtop （官網(wǎng) https://www.splashtop.cn/）這樣的專業(yè)安全的遠(yuǎn)程桌面軟件保護(hù)企業(yè)的信息數(shù)據(jù)安全。

與VPN和RDP相比，Splashtop 有很多功能是為了保證你的安全而存在的，包括以下功能。

應(yīng)用安全：所有通過專用應(yīng)用程序進(jìn)行的遠(yuǎn)程會話都得到了高級保護(hù)。 這通過傳輸層安全發(fā)生，包括TLS 1.2。

加密的遠(yuǎn)程連接： Splashtop的遠(yuǎn)程桌面軟件使用先進(jìn)的256位AES加密。 這有助于保持任何數(shù)據(jù)傳輸?shù)陌踩浴?/p>

你可以保證沒有人可以窺視你在遠(yuǎn)程會話中訪問的信息和文件。

雙因素認(rèn)證：Splashtop平臺要求你在登錄前確認(rèn)你是誰。 這可以確保在任何時(shí)候都有正確的人連接到遠(yuǎn)程桌面。

設(shè)備認(rèn)證：在使用遠(yuǎn)程桌面軟件之前，你必須注冊一個(gè)（或多個(gè)）可以訪問的特定設(shè)備。 如果一個(gè)不同的設(shè)備試圖連接，該設(shè)備必須先經(jīng)過用戶的驗(yàn)證。

本地部署：Splashtop On-Prem 可以部署在企業(yè)內(nèi)網(wǎng)，數(shù)據(jù)存儲在企業(yè)自己的服務(wù)器，安全保障再次升級。

零信任：首先通過 Splashtop cloud broker 建立認(rèn)證，只有在這種公平的認(rèn)證成功后，遠(yuǎn)程用戶才可以訪問授權(quán)系統(tǒng)。

有更多關(guān)于企業(yè)安全遠(yuǎn)程桌面的問題，歡迎留言交流。