如何防止勒索者软件对远程桌面服务（RDP）的攻击

2022-07-08

公司上网行为管理，就用安企神软件

立即咨询

很多企业都依赖RDP来保证公司业务的不间断运行。

RDP（Remote Desktop Protocol）是微软公司开发的一种网络通信协议，它为大多数Windows操作系统提供了一个图形界面，使用户能够远程连接到服务器或另一台计算机。RDP将远程服务器的显示传输到客户机，并将外设(如键盘和鼠标)的输入从客户机传输到远程服务器，有效地允许用户控制远程计算机，就像他们亲自操作它一样。

然而，很多企业并没有足够的时间和资源来安全地配置RDP，仓促的转为远程办公，可能正在为勒索软件集团提供攻击的机会。

根据McAfee的一份报告，暴露在互联网上的RDP端口数量从2022年1月份的300万个增加激增到今年3月的450万个。

如何保护RDP不受勒索软件的攻击，希望达到抛砖引玉的作用。

在专用网络中使用RDP通常被认为是一个安全可靠的工具。然而，当RDP端口对Internet开放时，可能会出现严重的问题，因为它允许任何人尝试连接到远程服务器。如果连接成功，攻击者将获得访问服务器的权限，并可以在被黑帐户的权限内做任何事情。

RDP可以通过多种方式加以利用，主要有以下四种方式：

扫描暴露的RDP端口：攻击者使用免费的、简单易用的端口扫描工具，如Shodan，来扫描整个Internet以获取暴露的RDP端口。
尝试登录：攻击者通过暴力破解用户名和密码，地下市场购买肉鸡，或者有针对的采用社会工程的方式登录。
破坏系统安全性：一旦攻击者完成提权，他们就会集中精力使网络尽可能不安全。如禁用防病毒软件、删除备份和更改通常被锁定的配置设置、修改日志等。
威胁后利用：接触系统安全性后，便可以部署勒索软件、部署键盘记录器、使用肉鸡分发垃圾邮件、窃取敏感数据，或者安装后门等等，用于以后的攻击。

确保RDP安全的8种常见做法

首先第一点，除非必要，否则应该始终禁用RDP。

对于特别需要使用RDP的企业，以下是工作中防止RDP被暴力攻击的几种方法。

1.使用VPN

如前所述，当RDP对Internet开放时会产生严重的安全风险。相反，组织应该使用VPN来允许远程用户安全地访问公司网络，而不将他们的系统暴露给整个Internet。

2.设置强密码

大多数基于RDP的攻击依赖于暴力破解。因此，企业必须在所有RDP客户端和服务器终端上强制使用强密码，密码长、唯一、随机。

3.使用多种认证

即使是最强大的密码也可能被泄露。这时，MFA（Multi-Factor Authentication）提供了另外一层保护。启用 MFA 后，用户登录RDP，系统要求输入用户名和密码，然后要求输入来自其 MFA 设备的动态验证码，MFA 设备可以基于硬件也可以基于软件。

4.使用防火墙来限制访问

可以使用防火墙来限制RDP对特定IP地址或IP地址范围的访问。

5.使用RD网关

Windows server 2008以后的版本，都可以使用RD网关服务器，它使用端口 443，可通过安全套接字层 (SSL) 隧道传输数据。

6.封IP

短时间内多次的登录尝试失败，通常表明正在进行暴力攻击。Windows帐户策略可用于定义和限制用户尝试登录到RDP的次数。

7.合理分配远程访问权限

虽然所有管理员在默认情况下都可以使用RDP，但许多用户不需要远程访问也能完成他们的工作。企业应该始终遵循“最小特权”的原则，将RDP访问权分配给真正需要的人。

8.更改RDP监听端口

攻击者通常通过扫描Internet以确定监听默认RDP端口(TCP 3389)的计算机来识别潜在目标。虽然通过Windows注册表更改监听端口可以帮助企业“隐藏”脆弱的连接，但种方法只是一种规避策略，并不具备防护性，应该算作一种补充技术吧。

TAG：

上一篇 : 报表审计，多重保障机密文档安全，敏感内容识别管控

下一篇 : 虚拟安全桌面系统的功能介绍

文章标签

产品中心

文档加密

文档信息安全

上网行为管控

应用程序管理

敏感文件

U盘设备管控

文件分发

IT资产

电脑操作记录

远程控制

聊天管控

敏感信息报警

屏幕管控

内网管理

深度行为分析

电脑屏幕录像

实时管控

补丁管理