远程桌面会话在加密通道上运行,防止任何人通过监听网络来查看您的会话。 但是,在早期版本的 RDP 中用于加密会话的方法存在漏洞。 此漏洞可能允许使用中间人攻击 (link is external) 未经授权访问您的会话。
我们可以在 Windows 10、Windows 11 和 Windows Server 2003/2008/2012/2016 中使用 SSL/TLS 保护远程桌面。
虽然远程桌面比 VNC 等不加密整个会话的远程软件更安全,但任何时候远程授予管理员对系统的访问权限都存在风险。
为远程工作设置远程桌面协议 (RDP) 的大部分问题都涉及通过公共互联网访问 RDP。 RDP 本身不是一个安全设置,因此需要额外的安全措施来保护工作站和服务器。 如果没有适当的安全协议,组织将面临多种潜在风险,包括网络攻击风险增加。 这些攻击的典型目标往往是小型企业,因为它们通常缺乏抵御和响应这些威胁所需的资源。网络罪犯已经注意到 RDP 的采用率越来越高,并正在利用这些暴露的服务器附带的漏洞。
寻找 RDP 服务器进行利用的威胁参与者也可以毫不费力地这样做。 Shodan 是一种搜索引擎,旨在扫描具有暴露于 Internet 的某些端口或协议的设备,已发现超过 400 万个 RDP 端口暴露,以及至少 14,000 个可从 Internet 访问的 Windows RDP 服务器。
在许多情况下,具有可公开访问 Internet 的 RDP 的服务器未能启用多因素身份验证 (MFA)。 这意味着通过暴力攻击暴露弱密码或重复使用的密码来破坏用户帐户的攻击者可以轻松地通过 RDP 访问用户的工作站。攻击者将有可能获得对组织暴露网络的完全访问权限。 发生这种情况是因为这些类型的帐户由集中式系统在域级别进行管理,这意味着所有系统都使用相同的凭据。
利用这些漏洞只涉及确定访问系统的帐户凭据,因此,即使是最不老练的攻击者也有能力利用 RDP。 尽管攻击本身不需要太多技巧,但其影响可能相当大。 这些攻击可能会危及组织的服务器并导致远程访问服务的潜在损失。
网络威胁行为者为何利用 RDP
由于多种不同的原因,RDP 漏洞是网络犯罪分子中流行的、常见的漏洞。 RDP 攻击的一些最常见目标是分布式拒绝服务 (DDoS) 攻击和勒索软件交付。
DDoS 攻击
在分布式拒绝服务 (DDoS) 攻击中,目标是向目标网站或服务器发送尽可能多的数据,以使其不堪重负并使其离线。 DDoS 攻击者使用各种不同的方法来实现这一目标,例如大型僵尸网络或称为 DDoS 放大的技术,它利用发送比初始请求大得多的响应的服务。 DDoS 攻击者会伪装成目标向这些服务发送流量。 然后,目标网站或服务器被淹没的数据比攻击者发送的数据多得多。
RDP 服务器是潜在的 DDoS 放大器,攻击者可以滥用这些服务向他们的目标发送大量流量,使他们离线。 针对 RDP 的日益增长的威胁使得组织在其面向 Internet 的系统上安装反 DDoS 保护变得至关重要。
勒索软件交付
在使用 RDP 获得对组织网络的访问权限后,勒索软件运营商便能够探索网络并将勒索软件植入高价值平台 系统。 此外,一些威胁参与者通过在加密受害者的文件之前泄露敏感数据来增强他们的勒索软件策略,然后通过威胁如果不满足勒索要求就将数据发布到“羞辱网站”来勒索受害者。
利用勒索软件的便利性激发了一些勒索软件团伙几乎完全将其用作攻击媒介。
保护 RDP 的选项
RDP 是组织安全的重大风险。 存在多种用于保护 RDP 的不同选项,它们在有效性和可用性方面存在显着差异。
最低效:基于 IP 的访问列表
保护 RDP 免受攻击的一种潜在解决方案是限制对 RDP 解决方案的访问。 这可以通过实施仅允许来自特定 IP 地址的 RDP 连接的访问控制列表 (ACL) 来实现。
虽然这在理论上可行,但实际上并不是一个好的解决方案,原因有很多,包括:
可管理性:ACL 要求组织明确定义哪些 IP 地址应该和不应该被允许访问 RDP。 对于远程员工,如果员工尝试在不同地点工作或使用动态分配的 IP 地址,则此列表可能会不断变化。
外围焦点:这种 RDP 安全方法侧重于阻止攻击者对组织网络的初始访问。 但是,如果攻击者进入网络内部,则没有什么可以阻止他们横向移动。
受损的端点:基于 IP 的访问管理限制了对特定机器的 RDP 访问,但没有采取任何措施来防止这些机器受到攻击。 安装在员工端点上的恶意软件不会被阻止通过 RDP 连接到企业网络。
有效:虚拟专用网络
虚拟专用网络 (VPN) 是一种常用的远程访问解决方案。 它们旨在为远程用户和企业网络之间的网络流量提供加密隧道。 VPN 还支持 MFA 等安全解决方案,有助于减轻帐户被盗的威胁。
然而,虽然 VPN 是一种常用的解决方案和纵深防御安全措施,但它们存在漏洞,并且经常成为试图部署恶意软件的网络威胁参与者的目标。 VPN 用户必须认识到他们固有的弱点,并在提供时上传安全补丁升级。
这意味着部署 VPN 基础设施可能会在组织的网络中产生额外的漏洞。 事实上,VPN 漏洞是网络威胁行为者最常利用的漏洞之一,并且紧随 RDP 作为勒索软件交付载体。
最有效:虚拟桌面解决方案
基于 IP 的 ACL 和 VPN 的问题在于它们专注于保护组织网络的初始访问点。 一种更好的保护远程工作的方法会同时考虑员工或攻击者可以远程访问的路由和系统。
保护 RDP 的最佳解决方案是将其与使用单点登录进行用户身份验证的虚拟桌面解决方案(例如 Splashtop)结合使用。 借助虚拟桌面解决方案,组织可以实施 MFA 来控制访问,并更好地了解和控制可远程访问的端点以及它们存储、处理和传输的数据。 这种增强的可见性和控制有助于防止威胁在网络内横向移动,并使实施安全远程访问变得更加容易。
结论
使用 RDP 的组织有可能存在许多漏洞或机会被不良行为者利用。企业可以选择使用 Splashtop (官网 https://www.splashtop.cn/)这样的专业安全的远程桌面软件保护企业的信息数据安全。
与VPN和RDP相比,Splashtop 有很多功能是为了保证你的安全而存在的,包括以下功能。
应用安全:所有通过专用应用程序进行的远程会话都得到了高级保护。 这通过传输层安全发生,包括TLS 1.2。
加密的远程连接: Splashtop的远程桌面软件使用先进的256位AES加密。 这有助于保持任何数据传输的安全性。
你可以保证没有人可以窥视你在远程会话中访问的信息和文件。
双因素认证:Splashtop平台要求你在登录前确认你是谁。 这可以确保在任何时候都有正确的人连接到远程桌面。
设备认证:在使用远程桌面软件之前,你必须注册一个(或多个)可以访问的特定设备。 如果一个不同的设备试图连接,该设备必须先经过用户的验证。
本地部署:Splashtop On-Prem 可以部署在企业内网,数据存储在企业自己的服务器,安全保障再次升级。
零信任:首先通过 Splashtop cloud broker 建立认证,只有在这种公平的认证成功后,远程用户才可以访问授权系统。
有更多关于企业安全远程桌面的问题,欢迎留言交流。