缓解远程桌面协议（RDP）攻击的7条建议

配景先容

• 2016年6月，卡巴斯基尝试室研究职员揭破，黑客操作长途桌面协议(RDP)窃取85,000台来自医院、学校、航空公司和当局机构的处事器，还果真在地下暗盘销售;
• 2017年4月，黑客操作RDP终端与俄罗斯银行的8台ATM机成立毗连，吐出80万美元存款;
• 2017年6月，打单软件SamSam也是行使RDP乐成传染了约莫7,000台Windows PC和1,900台处事器;
• 2017年8月，按照Rapid7 公司安详专家举办的一项研究功效表现，制止2017年7月，环球仍有410万个长途桌面协议(RDP)终端果真袒露在收集上，可以想象，，假如企业没有妥善掩护RDP，收集和端点安详将受到严峻威胁;
• 2018年3月，微软长途桌面协议(RDP)再曝安详裂痕，险些全部版本的Windows操纵体系都受其影响，也许应承长途进攻者操作长途桌面协议(RDP)和Windows长途打点(WinRM)窃取数据并运行恶意代码。

连年来，长途桌面协议(RDP)中发明的裂痕让各人将眼光都聚焦在它身上，各种案例也都表白RDP终端已经成为黑客入侵电脑的管道，也成为打单软件最首要的进攻前言。2018年9月，互联网犯法投诉中心(IC3)与FBI和DHS就相助宣布了一项警报，缘故起因是越来越多的打单软件和数据偷盗变乱操作长途桌面协议(RDP)作为进攻前言。

进攻者不只重复操作袒露于互联网的RDP处事，在属于浩瀚首要组织的体系和收集上安装打单软件，还操作RDP在企业体系上安装加密器材、键盘记录措施、后门措施以及其他恶意软件。现在，很多进攻者已经通过RDP处事在企业收集中成立了驻足点，以晋升特权、网络凭据、在受损情形中横向移动，并为误导目标配置错误标志。

在下述这篇文章中，我们将扼要的切磋什么是RDP以及RDP进攻?为什么我们必要RDP?它用于企业端点的最常见方法有哪些?然后，我们将切磋企业怎样确保RDP的安详行使，可能在恰当的时辰，怎样确保它没有被行使。

什么是RDP?

长途桌面协议是Microsof(微软)公司建设的专有协议。它应承体系用户通过图形用户界面毗连到长途体系。在默认环境下，该协议的客户端署理内置在微软的操纵体系中，但也可以安装在非微软操纵体系中，譬喻苹果的操纵体系、差异版本的Linux，乃至还可以安装在移动操纵体系中，譬喻Android。

RDP的处事器端安装在微软操纵体系上，从客户端署理吸取哀求，表现宣布应用措施的图，可能长途会见体系自己。在默认环境下，体系在端口3389来监听来自客户端的通过RDP的毗连哀求。

RDP在企业的最常用方法?

凡是环境下，RDP可能终端处事会话被设置在必要漫衍式客户端呆板来毗连的处事器上。它可以用于打点、长途会见，可能宣布用于中央行使的应用措施。该协议还常被桌面打点员用来长途会见用户体系，以帮忙解除妨碍。假如RDP没有正确设置的话，这种特定成果将会给企业带来威胁，由于未授权会见者将可以会见要害企业体系。

什么是RDP进攻?

在RDP进攻中，犯法分子会主动探求不安详的RDP处事来操作和会见企业收集。凡是来说，想要实现RDP进攻很是轻易，由于很多组织基础无法掩护RDP处事免受未经授权的会见。

安详自动化和变乱相应技能提供商Demisto的连系首创人Rishi Bhargava暗示，

RDP进攻成长趋势：自动化

进攻者喜好以RDP为方针，由于这种协议很是易于行使，而且可以或许提供完全节制受损体系的机遇。更重要的是，它使进攻者可以或许通过泛泛用于正当目标的协议来会见体系，因此，防止者更难以检测到这种恶意勾当。

Microsoft RDP为用户提供了一种“从运行Windows的另一台计较机毗连到长途Windows体系”的要领。它提供长途表现和输入成果，应承小我私人会见和行使长途Windows体系，就像他们现实坐在装备前面一样。譬喻，通过RDP，您可以行使家用Windows PC会见事变计较机，并在其上执行与事变沟通的使命。

组织凡是可以长途会见装备，因此支持职员可以会见它们以办理题目并修复题目，而无需物理打仗体系。固然该成果很是有效，但很多组织无法正确掩护可会见长途桌面的帐户，譬喻，不要求强暗码，不启用收集级别身份验证，也不限定可通过长途桌面登录的用户等等。

特权帐户打点器材提供商Thycotic的首席安详科学家Joseph Carson暗示，

进攻者只必要行使暴力破解和彩虹表的方法，就可以或许等闲的破解这些弱口令，从而获取对体系的完全会见权限，以实现窃取敏感数据、植入恶意软件等恶意目标。Carson暗示，

除此之外，进攻者也可以简朴的从其他犯法分子手中购置暗码。连年来，浩瀚暗网市场如雨后春笋般涌现，并以低至3美元的价值出售受损的RDP处事器会见权限。安详厂商McAfee和Flashpoint就曾报道称，在一家名为Ultimate Anonymity Service(UAS)的市肆中，就贩卖用于会见环球35,000至40,000台RDP处事器的暗码，个中包罗属于当局、医疗保健和其他首要组织的处事器。

Flashpoint高级说明师Luke Rodeheffer暗示，

7条缓解提议

鉴于上述趋势，安详专家提议您可以通过下述法子缓解RDP进攻对企业造成的影响：

1. 行使强暗码

行使强盛的用户名和暗码举办RDP会见。Sophos公司首席研究科学家Chet Wisniewski暗示，对付缓解RDP进攻而言，行使长而安详的暗码组合是一个很是好的步伐。尤其是对付打点账户而言，还必要启用双身分身份验证，并始终潜匿VPN后的会见权限。

Wisniewski称，

仅从默认的“admin / administrator”变动登录根据，可以明显低落暴力进攻乐成率。

2. 实验基于脚色的会见节制

组织必要限定具有RDP节制台打点员会见权限的用户数，另外，还必要限定具有此类会见权限的用户的详细权限。Demisto公司的Bhargava暗示，

3. 为RDP启用收集级别身份验证(NLA)

收集级别身份验证可以提供特另外掩护层。启用NLA后，任何实行通过RDP毗连到长途体系的用户都必要在成立会话前，先对其身份举办验证。Arntz暗示，

4. 变动RDP端口像

Shodan这样的处事器，应承进攻者可以轻松的找到袒露在收集上的运行RDP的体系。对此，Malwarebytes的首席谍报记者Pieter Arntz暗示，变动您的RDP端口可以确保那些征采开放式RDP端口的端口扫描器不会扫描到您的RDP体系。默认环境下，处事器会在端口3389上侦听TCP和UDP。

Flashpoint公司的Rodeheffer还告诫称，

5. 跟踪您的RDP处事器

相识您的收集情形中哪些体系启用了RDP处事。您必要确保收集上没有混混或未经核准的RDP处事器，尤其是直接毗连到互联网的任何对象。自动威胁打点提供商Vectra的高级产物司理Jacob Sendowski暗示，

6. 行使RDP网关RDP网关

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!