Windows 远程桌面安全吗?电脑远程桌面的安全如何保障?

news2024/11/16 0:25:37


远程桌面会话在加密通道上运行,防止任何人通过监听网络来查看您的会话。 但是,在早期版本的 RDP 中用于加密会话的方法存在漏洞。 此漏洞可能允许使用中间人攻击 (link is external) 未经授权访问您的会话。

我们可以在 Windows 10、Windows 11 和 Windows Server 2003/2008/2012/2016 中使用 SSL/TLS 保护远程桌面。

虽然远程桌面比 VNC 等不加密整个会话的远程软件更安全,但任何时候远程授予管理员对系统的访问权限都存在风险。

为远程工作设置远程桌面协议 (RDP) 的大部分问题都涉及通过公共互联网访问 RDP。 RDP 本身不是一个安全设置,因此需要额外的安全措施来保护工作站和服务器。 如果没有适当的安全协议,组织将面临多种潜在风险,包括网络攻击风险增加。 这些攻击的典型目标往往是小型企业,因为它们通常缺乏抵御和响应这些威胁所需的资源。网络罪犯已经注意到 RDP 的采用率越来越高,并正在利用这些暴露的服务器附带的漏洞。

寻找 RDP 服务器进行利用的威胁参与者也可以毫不费力地这样做。 Shodan 是一种搜索引擎,旨在扫描具有暴露于 Internet 的某些端口或协议的设备,已发现超过 400 万个 RDP 端口暴露,以及至少 14,000 个可从 Internet 访问的 Windows RDP 服务器。

在许多情况下,具有可公开访问 Internet 的 RDP 的服务器未能启用多因素身份验证 (MFA)。 这意味着通过暴力攻击暴露弱密码或重复使用的密码来破坏用户帐户的攻击者可以轻松地通过 RDP 访问用户的工作站。攻击者将有可能获得对组织暴露网络的完全访问权限。 发生这种情况是因为这些类型的帐户由集中式系统在域级别进行管理,这意味着所有系统都使用相同的凭据。

利用这些漏洞只涉及确定访问系统的帐户凭据,因此,即使是最不老练的攻击者也有能力利用 RDP。 尽管攻击本身不需要太多技巧,但其影响可能相当大。 这些攻击可能会危及组织的服务器并导致远程访问服务的潜在损失。

网络威胁行为者为何利用 RDP

由于多种不同的原因,RDP 漏洞是网络犯罪分子中流行的、常见的漏洞。 RDP 攻击的一些最常见目标是分布式拒绝服务 (DDoS) 攻击和勒索软件交付。

DDoS 攻击

在分布式拒绝服务 (DDoS) 攻击中,目标是向目标网站或服务器发送尽可能多的数据,以使其不堪重负并使其离线。 DDoS 攻击者使用各种不同的方法来实现这一目标,例如大型僵尸网络或称为 DDoS 放大的技术,它利用发送比初始请求大得多的响应的服务。 DDoS 攻击者会伪装成目标向这些服务发送流量。 然后,目标网站或服务器被淹没的数据比攻击者发送的数据多得多。

RDP 服务器是潜在的 DDoS 放大器,攻击者可以滥用这些服务向他们的目标发送大量流量,使他们离线。 针对 RDP 的日益增长的威胁使得组织在其面向 Internet 的系统上安装反 DDoS 保护变得至关重要。

勒索软件交付

在使用 RDP 获得对组织网络的访问权限后,勒索软件运营商便能够探索网络并将勒索软件植入高价值平台 系统。 此外,一些威胁参与者通过在加密受害者的文件之前泄露敏感数据来增强他们的勒索软件策略,然后通过威胁如果不满足勒索要求就将数据发布到“羞辱网站”来勒索受害者。

利用勒索软件的便利性激发了一些勒索软件团伙几乎完全将其用作攻击媒介。

保护 RDP 的选项

RDP 是组织安全的重大风险。 存在多种用于保护 RDP 的不同选项,它们在有效性和可用性方面存在显着差异。

最低效:基于 IP 的访问列表

保护 RDP 免受攻击的一种潜在解决方案是限制对 RDP 解决方案的访问。 这可以通过实施仅允许来自特定 IP 地址的 RDP 连接的访问控制列表 (ACL) 来实现。

虽然这在理论上可行,但实际上并不是一个好的解决方案,原因有很多,包括:

可管理性:ACL 要求组织明确定义哪些 IP 地址应该和不应该被允许访问 RDP。 对于远程员工,如果员工尝试在不同地点工作或使用动态分配的 IP 地址,则此列表可能会不断变化。

外围焦点:这种 RDP 安全方法侧重于阻止攻击者对组织网络的初始访问。 但是,如果攻击者进入网络内部,则没有什么可以阻止他们横向移动。

受损的端点:基于 IP 的访问管理限制了对特定机器的 RDP 访问,但没有采取任何措施来防止这些机器受到攻击。 安装在员工端点上的恶意软件不会被阻止通过 RDP 连接到企业网络。

有效:虚拟专用网络

虚拟专用网络 (VPN) 是一种常用的远程访问解决方案。 它们旨在为远程用户和企业网络之间的网络流量提供加密隧道。 VPN 还支持 MFA 等安全解决方案,有助于减轻帐户被盗的威胁。

然而,虽然 VPN 是一种常用的解决方案和纵深防御安全措施,但它们存在漏洞,并且经常成为试图部署恶意软件的网络威胁参与者的目标。 VPN 用户必须认识到他们固有的弱点,并在提供时上传安全补丁升级。

这意味着部署 VPN 基础设施可能会在组织的网络中产生额外的漏洞。 事实上,VPN 漏洞是网络威胁行为者最常利用的漏洞之一,并且紧随 RDP 作为勒索软件交付载体。

最有效:虚拟桌面解决方案

基于 IP 的 ACL 和 VPN 的问题在于它们专注于保护组织网络的初始访问点。 一种更好的保护远程工作的方法会同时考虑员工或攻击者可以远程访问的路由和系统。

保护 RDP 的最佳解决方案是将其与使用单点登录进行用户身份验证的虚拟桌面解决方案(例如 Splashtop)结合使用。 借助虚拟桌面解决方案,组织可以实施 MFA 来控制访问,并更好地了解和控制可远程访问的端点以及它们存储、处理和传输的数据。 这种增强的可见性和控制有助于防止威胁在网络内横向移动,并使实施安全远程访问变得更加容易。

结论

使用 RDP 的组织有可能存在许多漏洞或机会被不良行为者利用。企业可以选择使用 Splashtop (官网 https://www.splashtop.cn/)这样的专业安全的远程桌面软件保护企业的信息数据安全。

与VPN和RDP相比,Splashtop 有很多功能是为了保证你的安全而存在的,包括以下功能。

应用安全:所有通过专用应用程序进行的远程会话都得到了高级保护。 这通过传输层安全发生,包括TLS 1.2。

加密的远程连接: Splashtop的远程桌面软件使用先进的256位AES加密。 这有助于保持任何数据传输的安全性。

你可以保证没有人可以窥视你在远程会话中访问的信息和文件。

双因素认证:Splashtop平台要求你在登录前确认你是谁。 这可以确保在任何时候都有正确的人连接到远程桌面。

设备认证:在使用远程桌面软件之前,你必须注册一个(或多个)可以访问的特定设备。 如果一个不同的设备试图连接,该设备必须先经过用户的验证。

本地部署:Splashtop On-Prem 可以部署在企业内网,数据存储在企业自己的服务器,安全保障再次升级。

零信任:首先通过 Splashtop cloud broker 建立认证,只有在这种公平的认证成功后,远程用户才可以访问授权系统。

有更多关于企业安全远程桌面的问题,欢迎留言交流。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/376371.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

学好数据结构与算法其实一点也不难

一. 初识算法 1.1 什么是算法? 定义 在数学和计算机科学领域,算法是一系列有限的严谨指令,通常用于解决一类特定问题或执行计算 In mathematics and computer science, an algorithm (/ˈlɡərɪəm/) is a finite sequence of rigorous …

MSVCP140.dll下载及安装教程,dll修复方法

MSVCP140.dll是Windows操作系统中的一个DLL文件,许多程序依赖于它来正常运行。如果您尝试运行某个程序时,发现缺少MSVCP140.dll文件,那么您需要下载并安装它才能解决问题。本文将介绍如何MSVCP140.dll下载和安装MSVCP140.dll。 第一步&#x…

解决树莓派 bullseye (11) 系统无法通过 xrdp 远程连接的问题

我手上有一台树莓派 4B,使用官方镜像烧录器烧录老版本操作系统 buster (10) 时可以正常通过 Windows 远程桌面连接上,但换成最新的 bullseye (11) 系统后却无法正常连接远程桌面。 问题复现: 使用官方镜像烧录器烧录,配置用户名为…

CSDN 竞赛 32 期

CSDN 竞赛 32 期1、题目名称:传奇霸业2、题目名称:严查枪火3、题目名称:蚂蚁家族4、题目名称:运输石油小结1、题目名称:传奇霸业 传奇霸业,是兄弟就来干。 小春(HP a)遇到了一只黄金哥布林(HP x)。 小春每…

20个让你效率更高的CSS代码技巧

在本文中,我们想与您分享一个由各大css网站总结推荐的20个有用的规则和实践经验集合。有一些是面向CSS初学者的,有一些知识点是进阶型的。希望每个人通过这篇文章都能学到对自己有用的知识。好了,我们开始。1.注意外边距折叠与其他大多数属性…

从工地转行软件测试,拿下13k+年终奖是种什么体验?

最近,一则名为《我:毕业五年,存款5000。她:中传硕士,火锅店保洁》的视频走红网络,两位名校毕业生看似高开低走的就业经历,引起了很多人的共鸣。她们所传达的并不是所谓的躺平、摆烂,而是希望更多…

spark性能调优(一):Shuffle

Shuffle 一、配置项调优二、减少shuffle数据量三、避免shuffle何为shuffle? 集群中跨进程、跨节点的数据分发(Map的输出文件写到本地磁盘,Reducer把Map的输出文件拉到本地)为什么要shuffle? 准确的说,shuffle是刚需(业务场景决定的),分布式环境中,不同节点不能进行内存交换,只…

加快发展先进制造业势在必行!

众所周知,我国是制造大国,但并非制造强国。而我们在持续发展制造业的进程中也面临着诸多实际问题,如产业发展后续乏力,环境制约异常突出,技术创新能力薄弱,结构调整任务艰巨等等。故而要实现由制造大国向制…

数据结构与算法之二叉树大全

目录二叉树的定义二叉树的性质(特性)满二叉树与完全二叉树链式存储的二叉树顺序存储的二叉树线索二叉树(Threaded BinaryTree)二叉排序树(Binary Sort Tree)平衡二叉树( Balanced Binary Tree)为什么使用平衡二叉树?如…

Vue中如何利用websocket实现实时通讯

首先我们可以先做一个简单的例子来学习一下简单的websocket模拟聊天对话的功能 原理很简单,有点像VUE中的EventBus,用emit和on传来传去 首先我们可以先去自己去用node搭建一个本地服务器 步骤如下 1.新建一个app.js,然后创建pagejson.js文…

最简单的代码生成器,netcore平台,EF架构,smartsofthelp

1.dbhelper 原生SQL操作类2.Model 实体层3.EF dbfirst 生成entites 实体操作类4.EF实体接口增删改查操作方法成员5.UI 展示层SQL数据脚本Model/// <summary>/// Model实体层 /// </summary>namespace Smart.Model{/// <summary>/// 数据实体层 T_Eventsmart …

珠海数据智能监控器+SaaS平台 轻松实现SMT生产管控

数据智能监控器 兼容市面上99%的SMT设备 直接读取设备生产数据与状态&#xff0c;如&#xff1a;计划产出、实际产出、累计产出、停机、节拍、线利用率、直通率、停产时间、工单状态、OEE…… 产品功能价值 ◎ OEE不达标报警&#xff0c;一手掌握生产效能 ◎ 首检/巡检/成…

研发人员最希望项目经理和PMO能够做什么?看完不要惊讶

作为项目经理和PMO你考虑过自己在其他人眼中的形象么&#xff1f;知道各个环节最希望你做什么吗&#xff1f;对于最常打交道的研发人员&#xff0c;你知道他们最希望你做什么吗&#xff1f; 如果不能了解其他环节对你的期望&#xff0c;你往往很难获得认同&#xff0c;为此&am…

Golang实现RabbitMQ中死信队列各个情况

下面这段教程针对是你已经有一些基本的MQ的知识&#xff0c;比如说能够很清楚的理解queue、exchange等概念&#xff0c;如果你还不是很理解&#xff0c;我建议你先访问官网查看基本的教程。 文章目录1、造成死信队列的主要原因2、操作逻辑图3、代码实战3.1 针对原因1&#xff1…

win10下Vue环境搭建(脚手架初始化+项目启动)教程(详解多图)

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录前言一、下载安装node.js二、node.js环境配置三、下载安装vue脚手架前言 初学Vue 搭环境快把我整死了QAQ 差点入门即入土 一、下载安装node.js ①下载地址&#x…

bug的创建和等级

1.如何合理的创建一个bug 创建bug的要素 &#xff1a;问题的版本&#xff0c;发现问题的环境&#xff0c;发现问题的步骤&#xff0c;预取结果&#xff0c;实际结果。 eg&#xff1a; 1.问题的版本&#xff1a;谷歌浏览器108版本 2.发现问题的环境&#xff1a;windows11家庭版…

算法训练营 day56 动态规划 最长递增子序列 最长连续递增序列 最长重复子数组

算法训练营 day56 动态规划 最长递增子序列 最长连续递增序列 最长重复子数组 最长递增子序列 300. 最长递增子序列 - 力扣&#xff08;LeetCode&#xff09; 给你一个整数数组 nums &#xff0c;找到其中最长严格递增子序列的长度。 子序列 是由数组派生而来的序列&#x…

如何理解API?API 是如何工作的?(5分钟诠释)

大家可能最近经常听到 API 这个概念&#xff0c;那什么是API&#xff0c;它又有什么特点和好处呢&#xff1f; wiki 百科镇楼 …[APIs are] a set of subroutine definitions, protocols, and tools for building application software. In general terms, it’s a set of cle…

Linux文件属性--软连接和硬链接

文章目录软链接硬链接软链接和硬链接的区别软链接 软链接&#xff08;Soft Link&#xff09;又叫符号链接&#xff08;Symbolic Link &#xff09;&#xff0c;是linux特殊文件的一种&#xff0c;文件类型为l,它的数据是它所链接的文件或目录的路径。软链接可以跨磁盘和 分区…

《数据库系统概论》学习笔记——第三章 关系数据库标准语言SQL

教材为数据库系统概论第五版&#xff08;王珊&#xff09; 最重量级的一章。从后续的学习&#xff0c;基本所有实验&#xff0c;大作业和考试都会涉及SQL&#xff0c;SQL实际上是有很多变化的&#xff0c;书上讲的只是最基本的&#xff08;做了大作业才知道SQL能有这么多变化&a…