遠(yuǎn)程桌面協(xié)議：它是什么？如何保護(hù)它？

最近遠(yuǎn)程桌面協(xié)議（RDP）中發(fā)現(xiàn)的漏洞讓大家將目光都聚焦在它身上。知名網(wǎng)絡(luò)安全專家Dan Kaminsky近日表示，RDP目前正用于500多萬(wàn)個(gè)互聯(lián)網(wǎng)端點(diǎn)中，可以想象，如果企業(yè)沒(méi)有妥善保護(hù)RDP，網(wǎng)絡(luò)和端點(diǎn)安全將受到嚴(yán)重威脅。

在這篇文章中，我們將簡(jiǎn)要地探討什么是RDP，為什么我們需要RDP以及它用于企業(yè)端點(diǎn)的最常見(jiàn)方式。然后，我們將探討企業(yè)如何確保RDP的安全使用，或者在適當(dāng)?shù)臅r(shí)候，如何確保它沒(méi)有被使用。

什么是RDP？

遠(yuǎn)程桌面協(xié)議是微軟公司創(chuàng)建的專有協(xié)議。它允許系統(tǒng)用戶通過(guò)圖形用戶界面連接到遠(yuǎn)程系統(tǒng)。在默認(rèn)情況下，該協(xié)議的客戶端代理內(nèi)置在微軟的操作系統(tǒng)中，但也可以安裝在非微軟操作系統(tǒng)中，例如蘋(píng)果的操作系統(tǒng)、不同版本的Linux，甚至還可以安裝在移動(dòng)操作系統(tǒng)中，例如Android。

RDP的服務(wù)器端安裝在微軟操作系統(tǒng)上，從客戶端代理接收請(qǐng)求，顯示發(fā)布應(yīng)用程序的圖，或者遠(yuǎn)程訪問(wèn)系統(tǒng)本身。在默認(rèn)情況下，系統(tǒng)在端口3389來(lái)監(jiān)聽(tīng)來(lái)自客戶端的通過(guò)RDP的連接請(qǐng)求。

RDP在企業(yè)的最常用方式？

通常情況下，RDP或者終端服務(wù)會(huì)話被配置在需要分布式客戶端機(jī)器來(lái)連接的服務(wù)器上。它可以用于管理、遠(yuǎn)程訪問(wèn)，或者發(fā)布用于中央使用的應(yīng)用程序。該協(xié)議還常被桌面管理員用來(lái)遠(yuǎn)程訪問(wèn)用戶系統(tǒng)，以協(xié)助排除故障。如果RDP沒(méi)有正確配置的話，這種特定功能將會(huì)給企業(yè)帶來(lái)威脅，因?yàn)槲词跈?quán)訪問(wèn)者將可以訪問(wèn)關(guān)鍵企業(yè)系統(tǒng)。

如何保護(hù)RDP

現(xiàn)在我們了解了什么是RDP以及企業(yè)如何使用它，以下是保護(hù)RDP的一些方法：

確認(rèn)在客戶端和服務(wù)器之間使用了128位加密；128位加密允許使用更強(qiáng)大的不太容易被破解的密鑰。在默認(rèn)情況下，RDP連接會(huì)嘗試使用128位加密，但如果它不能使用128位加密的話，客戶端很可能會(huì)回到64位加密。為了確保系統(tǒng)不會(huì)回落到較低級(jí)別的加密，管理員可以將組策略對(duì)象（GPO）配置為符合各自標(biāo)準(zhǔn)的加密級(jí)別。我們建議大家啟用“高級(jí)”加密。

如果訪問(wèn)系統(tǒng)需要通過(guò)外部網(wǎng)絡(luò)，不應(yīng)該開(kāi)放端口讓任何人都可以濫用，我們建議將VPN配置為返回網(wǎng)絡(luò)，然后使用RDP。更好的辦法是創(chuàng)建一個(gè)遠(yuǎn)程桌面網(wǎng)關(guān)，允許通過(guò)HTTPS和RDP的遠(yuǎn)程連接來(lái)創(chuàng)建一個(gè)更安全的加密連接來(lái)連接端點(diǎn)。這兩種方法都建議保持外圍網(wǎng)絡(luò)RDP端口3389的開(kāi)放。

通過(guò)使用較新版本的windows操作系統(tǒng)，在建立對(duì)RDP主機(jī)服務(wù)器的連接之前，管理員可以啟用網(wǎng)絡(luò)級(jí)身份驗(yàn)證（NLA）作為身附加的份驗(yàn)證。這使身份驗(yàn)證從系統(tǒng)脫離出來(lái)，占用更少的資源。這還有助于減少潛在通過(guò)暴力破解實(shí)施的拒絕服務(wù)（DoS）攻擊。NLA作為一個(gè)緩沖區(qū)，防止攻擊者使用訪問(wèn)請(qǐng)求來(lái)阻塞RDP主機(jī)服務(wù)器。

在默認(rèn)情況下，RDP主機(jī)系統(tǒng)在3389端口監(jiān)聽(tīng)來(lái)自RDP客戶端的連接請(qǐng)求。我們可以改變RDP服務(wù)的這個(gè)監(jiān)聽(tīng)端口，以防止惡意軟件或者攻擊者通過(guò)掃描系統(tǒng)來(lái)找尋端口3389的RDP，從而保護(hù)網(wǎng)絡(luò)安全。然而，這種“模糊安全”方法可能會(huì)導(dǎo)致錯(cuò)誤和疏忽。你可以改變端口，但是你需要一個(gè)很好的理由。