Windows 遠(yuǎn)程桌面協(xié)議（RDP）常用于遠(yuǎn)程訪問(wèn)，幫助用戶連接到 Windows 服務(wù)器、桌面和虛擬機(jī)（VM）等。雖然 RDP 一般會(huì)通過(guò) VPN 進(jìn)行保護(hù)，但如果企業(yè)將 RDP 端口聯(lián)網(wǎng)開(kāi)放，僅憑 VPN 還是不夠安全。遠(yuǎn)程訪問(wèn)的 Windows 主機(jī)很容易遭到暴力破解，導(dǎo)致關(guān)鍵資源泄露。為此，不少企業(yè)都開(kāi)始采用多因素認(rèn)證（MFA）保護(hù) Windows RDP 端口，防止黑客對(duì)工作站或服務(wù)器的惡意訪問(wèn)。

一、RDP 端口開(kāi)放后會(huì)有哪些問(wèn)題？

首先要強(qiáng)調(diào)一點(diǎn)，將 RDP 端口聯(lián)網(wǎng)開(kāi)放從安全方面來(lái)看屬于嚴(yán)重錯(cuò)誤?？蓡?wèn)題究竟出在哪里？

簡(jiǎn)單來(lái)說(shuō)，RDP 端口聯(lián)網(wǎng)開(kāi)放后，任何人都可以找到端口并嘗試訪問(wèn)，其中就不乏網(wǎng)絡(luò)不法分子。一旦這些人設(shè)法獲得了訪問(wèn)權(quán)限，很可能會(huì)威脅到企業(yè)的網(wǎng)絡(luò)安全。

二、暴力破解

不法分子可以通過(guò)機(jī)器人等方法使用不同的密碼組合向登錄門戶發(fā)送垃圾郵件，繞過(guò)身份驗(yàn)證。這就是我們常說(shuō)的暴力破解，也就是通過(guò)大量登錄嘗試來(lái)推斷正確的訪問(wèn)憑證，從而使身份認(rèn)證環(huán)節(jié)崩潰。

卡巴斯基曾發(fā)布一項(xiàng)針對(duì)暴力破解的研究，技術(shù)人員發(fā)現(xiàn)密碼破解花費(fèi)時(shí)間從幾秒鐘到幾年不等。暴力破解主要針對(duì)密碼重復(fù)使用或弱密碼，通過(guò)身份認(rèn)證門戶填充憑證。而借助機(jī)器人等手段，通過(guò)暴力破解完成身份認(rèn)證所需的時(shí)間進(jìn)一步減少。

而開(kāi)放的 RDP 端口更容易遭到暴力破解，尤其是基于機(jī)器人的暴力破解，以下是兩個(gè)案例：

1）GoldBrute

GoldBrute 是安全分析師前幾年發(fā)現(xiàn)的一個(gè)僵尸網(wǎng)絡(luò)，它涌入一般網(wǎng)絡(luò)后會(huì)搜索暴露的 RDP 端口。一旦找到這類端口，GoldBrute 會(huì)向 RDP 登錄門戶填充憑證，直到找到正確的憑證用于破解身份認(rèn)證。進(jìn)入虛擬機(jī)等設(shè)備后，Goldbrute 就會(huì)尋找其他主機(jī)并傳播到可能包含公共 RDP 端口的其他 IP 地址，收集整理正確的憑證組合后放到暗網(wǎng)上轉(zhuǎn)售。

2）Everis

西班牙最大的托管服務(wù)提供商 MSP Everis 和他們的客戶西班牙最大廣播電臺(tái) Cadena SER 也曾遭到勒索軟件的攻擊，導(dǎo)致許多系統(tǒng)受損。至于攻擊的來(lái)源仍未完全調(diào)查清楚，但根據(jù)現(xiàn)有發(fā)現(xiàn)，問(wèn)題可能就出在幾千個(gè)暴露的 RDP 端口上。目前針對(duì)這些端口的攻擊并不能完全查明是否屬于暴力破解或 BlueKeep 等漏洞，而最重要的是，不安全的公共 RDP 端口是不法分子的主要入侵來(lái)源。

顯然，將 RDP 接入互聯(lián)網(wǎng)是極其危險(xiǎn)的做法，這也是企業(yè)需要使用多因素認(rèn)證（MFA）保護(hù) Windows RDP 端口的原因。

三、為什么選擇 MFA？

多因素認(rèn)證（MFA）要求用戶提交除登錄密碼等傳統(tǒng)身份憑證之外的其他驗(yàn)證因素，目的是確保對(duì)系統(tǒng)等 IT 資源的訪問(wèn)安全。目前，大多數(shù)企業(yè)都會(huì)要求內(nèi)部用戶為賬號(hào)設(shè)置安全度強(qiáng)的長(zhǎng)密碼，多因素認(rèn)證（MFA）在此基礎(chǔ)上又增加了一層額外的保護(hù)，加固弱密碼防止憑證竊取。

在一項(xiàng)關(guān)于多因素認(rèn)證（MFA）基本形式的研究中，Google 安全博客發(fā)現(xiàn)基于設(shè)備的 MFA 能夠完全防止自動(dòng)機(jī)器人的賬號(hào)接管攻擊（ATO）?；谠O(shè)備的 MFA 也是目前企業(yè)中最流行的認(rèn)證形式之一，企業(yè)可以采用合適的令牌形式實(shí)施 MFA 保護(hù)虛擬機(jī)等 IT 資源。

四、在 Windows VM 上實(shí)施 MFA

企業(yè)可以使用云目錄服務(wù)在 Mac、Linux 和 Windows 設(shè)備以及 RDP 系統(tǒng)中啟用基于設(shè)備的多因素認(rèn)證（MFA）。

借助云身份目錄服務(wù)或身份目錄即服務(wù)（Directory as a Service，DaaS），IT 管理員不僅可以在本地環(huán)境中執(zhí)行多因素認(rèn)證（MFA），也可以在 VPN 上執(zhí)行 MFA ，還可以保護(hù) RDP 端口。此外，管理員可以在 DaaS 平臺(tái)上設(shè)置密碼復(fù)雜性策略促使用戶滿足密碼要求，進(jìn)一步保護(hù)企業(yè) IT 資源免受暴力破解。

（本文來(lái)源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）