Facebook推特領英電子郵件更多的遠程桌面協(xié)議(RDP) 是 Microsoft 的專有通信協(xié)議，它允許運行任何操作系統(tǒng) (OS) 的設備進行遠程連接。IT 管理員可以使用 RDP 遠程診斷員工的問題，同時允許他們訪問公司資源。盡管是專有的，但一些 RDP 規(guī)范是開放的，任何人都可以使用它們來擴展協(xié)議的功能并在需要時滿足組織要求。

在過去幾年中，RDP 攻擊（利用 RDP 的漏洞攻擊系統(tǒng)的違規(guī)行為）顯著增加，威脅參與者利用暴露的端口在許多組織的網(wǎng)絡上安裝勒索軟件。鑒于遠程和混合工作場所的大量增加，這并不奇怪。我們將詳細了解 RDP 攻擊、RDP 用例以及組織如何減輕風險。

RDP 妥協(xié)的細分

現(xiàn)在，控制遠程連接的斗爭比以往任何時候都更加集中在一個地方：傳輸控制協(xié)議 (TCP) 端口 3389。這是所有 RDP 連接的默認端口，通過加密通道為遠程用戶提供網(wǎng)絡訪問。要了解如何保護組織免受 RDP 攻擊，必須弄清楚這種攻擊是如何展開的。

假設您的組織分布有數(shù)百甚至數(shù)千臺連接到企業(yè)網(wǎng)絡的設備。典型的 RDP 攻擊可以通過以下階段危害企業(yè)網(wǎng)絡：

1. 初始入侵。在這個階段，攻擊者開始弄清楚如何通過掃描端口 3389 來滲透網(wǎng)絡。如果任何連接到網(wǎng)絡的活動設備的 RDP 端口打開，它就會作為網(wǎng)絡的入口點。鑒于大多數(shù)活動設備會受到大量 RDP 連接的影響，任何威脅行為者都可以通過此端口強行進入網(wǎng)絡，而不會被安全工具標記。
2. 內(nèi)部偵察。在最初的妥協(xié)之后，攻擊者可以開始使用設備自己的子網(wǎng)掃描整個網(wǎng)絡以升級滲透。例如，攻擊者可以通過分布式計算環(huán)境 (DCE)/遠程過程調用 (RPC) 向多個端點發(fā)起 Windows Management Instrumentation (WMI) 連接并開始觸發(fā)攻擊。
3. 命令與控制。攻擊者使用受感染的設備向其他端點和網(wǎng)絡發(fā)送命令。例如，使用管理身份驗證 cookie，他們可以使用受感染的機器創(chuàng)建到非標準端口的新 RDP 連接。
4. 橫向運動。在這個階段，攻擊者通過獲得更高的權限來檢索敏感數(shù)據(jù)和其他高價值資源，從而深入企業(yè)網(wǎng)絡。例如，他們可以利用 WMI、PsExec 和 svcctl 等 Windows 管理工具，在網(wǎng)絡內(nèi)橫向移動，同時避開組織安全堆棧的檢測。

RDP 用例

RDP 有三個主要用例：

• 遠程故障排除。IT 管理員可以利用該協(xié)議來診斷和解決員工面臨的設備和應用程序問題。
• 遠程桌面訪問。組織可以利用 RDP 向員工提供應用程序和文件，員工可以從任何位置訪問這些資源。
• 遠程管理。IT 管理員可以利用該協(xié)議對網(wǎng)絡服務器進行配置更改。

如何減輕您的風險并保護您免受 RDP 攻擊

除非得到充分保護，否則 RDP 很容易成為想要在企業(yè)網(wǎng)絡中立足、提升權限和竊取機密數(shù)據(jù)的網(wǎng)絡犯罪分子的網(wǎng)關。盡管微軟已經(jīng)多次升級協(xié)議，但 RDP 仍然存在弱點。讓我們探討一下IT 團隊可以采取哪些措施來減輕 RDP 攻擊的風險：

• 實施基于角色的訪問控制 (RBAC) 限制。工人應該只訪問完成工作所必需的資源。IT 管理員可以基于多種因素實施訪問控制，包括職責、權限和工作能力。
• 始終為 RDP 啟用網(wǎng)絡級身份驗證 (NLA)。與任何系統(tǒng)一樣，用戶應始終在啟動遠程桌面會話之前進行身份驗證。因此，您應該只允許來自通過傳輸層安全 (TLS) 協(xié)議運行帶有 NLA 的 RDP 的端點的連接。
• 限制對 RDP 端口的訪問。您應該將對端口 3389 的訪問限制為特定主機或一組受信任的 Internet 協(xié)議 (IP) 地址，并允許連接到特定設備。這意味著服務器不應允許來自未列入白名單的 IP 地址的任何連接。
• 監(jiān)控 RDP 利用率。您應該仔細檢查 RDP 的持續(xù)使用情況并標記任何異常行為。例如，如果您意識到來自特定端點的登錄嘗試失敗，您應該立即將其標記出來。
• 啟用自動 Microsoft 更新。啟用更新和升級可確保您擁有適用于客戶端和服務器軟件的最新版本的 RDP。您還應該優(yōu)先為已知的公共漏洞修補 RDP 漏洞。
• 實施帳戶鎖定政策。當在 RDP 中實施時，帳戶鎖定策略使?jié)撛诘暮诳秃茈y破壞合法帳戶，并且可以幫助防止憑證填充、暴力攻擊和憑證盜竊。此外，它們還有助于保護用戶的帳戶和數(shù)據(jù)。
• 強制使用強密碼和多重身份驗證 (MFA)。始終要求用戶利用強用戶名和密碼進行 RDP 訪問。您還應該強制執(zhí)行 MFA，尤其是對于通過 RDP 訪問公司系統(tǒng)的管理帳戶。

了解 RDP 軟件和網(wǎng)絡安全

由于對遠程和混合工作場所的需求不斷增加，許多RDP 軟件供應商已經(jīng)出現(xiàn)，以提供滿足現(xiàn)代勞動力需求的各種解決方案。RDP 軟件允許 IT 團隊連接到多個異構端點并訪問資源，同時使用戶能夠訪問企業(yè)資源。讓我們探索這些解決方案擁有的一些基本網(wǎng)絡安全功能。

• 身份和訪問管理 (IAM) 功能。RDP 解決方案僅允許授權用戶通過實施網(wǎng)絡訪問控制、MFA 和單點登錄 (SSO) 機制來訪問企業(yè)資源。
• 加密通信。RDP 解決方案可以通過 TLS 等協(xié)議對通道進行加密，以防止未經(jīng)授權的訪問。
• 合規(guī)標準。RDP 軟件必須遵守監(jiān)管標準，例如通用數(shù)據(jù)保護條例 (GDPR) 和支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)。
• 可靠的更新周期。RDP 解決方案必須具有可預測的補丁周期，以消除已知漏洞和錯誤。