远程桌面协议:它是什么?如何保护它?
最近远程桌面协议(RDP)中发现的漏洞让大家将目光都聚焦在它身上。知名网络安全专家Dan Kaminsky近日表示,RDP目前正用于500多万个互联网端点中,可以想象,如果企业没有妥善保护RDP,网络和端点安全将受到严重威胁。
在这篇文章中,我们将简要地探讨什么是RDP,为什么我们需要RDP以及它用于企业端点的最常见方式。然后,我们将探讨企业如何确保RDP的安全使用,或者在适当的时候,如何确保它没有被使用。
什么是RDP?
远程桌面协议是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下,该协议的客户端代理内置在微软的操作系统中,但也可以安装在非微软操作系统中,例如苹果的操作系统、不同版本的Linux,甚至还可以安装在移动操作系统中,例如Android。
RDP的服务器端安装在微软操作系统上,从客户端代理接收请求,显示发布应用程序的图,或者远程访问系统本身。在默认情况下,系统在端口3389来监听来自客户端的通过RDP的连接请求。
RDP在企业的最常用方式?
通常情况下,RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问,或者发布用于中央使用的应用程序。该协议还常被桌面管理员用来远程访问用户系统,以协助排除故障。如果RDP没有正确配置的话,这种特定功能将会给企业带来威胁,因为未授权访问者将可以访问关键企业系统。
如何保护RDP
现在我们了解了什么是RDP以及企业如何使用它,以下是保护RDP的一些方法:
确认在客户端和服务器之间使用了128位加密;128位加密允许使用更强大的不太容易被破解的密钥。在默认情况下,RDP连接会尝试使用128位加密,但如果它不能使用128位加密的话,客户端很可能会回到64位加密。为了确保系统不会回落到较低级别的加密,管理员可以将组策略对象(GPO)配置为符合各自标准的加密级别。我们建议大家启用“高级”加密。
如果访问系统需要通过外部网络,不应该开放端口让任何人都可以滥用,我们建议将VPN配置为返回网络,然后使用RDP。更好的办法是创建一个远程桌面网关,允许通过HTTPS和RDP的远程连接来创建一个更安全的加密连接来连接端点。这两种方法都建议保持外围网络RDP端口3389的开放。
通过使用较新版本的windows操作系统,在建立对RDP主机服务器的连接之前,管理员可以启用网络级身份验证(NLA)作为身附加的份验证。这使身份验证从系统脱离出来,占用更少的资源。这还有助于减少潜在通过暴力破解实施的拒绝服务(DoS)攻击。NLA作为一个缓冲区,防止攻击者使用访问请求来阻塞RDP主机服务器。
在默认情况下,RDP主机系统在3389端口监听来自RDP客户端的连接请求。我们可以改变RDP服务的这个监听端口,以防止恶意软件或者攻击者通过扫描系统来找寻端口3389的RDP,从而保护网络安全。然而,这种“模糊安全”方法可能会导致错误和疏忽。你可以改变端口,但是你需要一个很好的理由。