教你如何防范远程桌面协议(RDP)的安全威胁
| 由于RDP是一种非常流行的协议,攻击者一旦获取访问权限,就会使用其转移到其他系统,所以,RDP也成功吸引了攻击者的目光。 |
远程桌面协议(Remote Desktop Protocol,简称RDP)是用于远程控制系统较流行的通信协议之一,适用于当前大多数Windows操作系统,通过提供图形用户界面,允许用户远程访问服务器或其他计算机。Microsoft甚至将其定位为管理运行Windows系统Azure虚拟机的默认方法。
由于RDP是一种非常流行的协议,攻击者一旦获取访问权限,就会使用其转移到其他系统,所以,RDP也成功吸引了攻击者的目光。因为他们意识到,相较于利用没有必胜把握的漏洞,使用RDP这种远程访问工具明显更加高效——只需获得正确的凭据即可访问企业网络。
根据最近的X-Force报告,窃取访问这些系统的凭据是暗网上利润最可观的生意之一,不过,这些直接暴露的服务器并不是攻击者使用(或者说滥用)RDP的唯一系统,他们的目标之一是融入常规流量。
RDP如何运行?
在深入探讨RDP威胁和防御之前,最好先了解一下它是如何运行的。RDP是一个双向通信协议。它可以将服务器的屏幕输出传输到客户端;将键盘和鼠标的输入内容从客户端传输到服务器;这个过程是非对称的,因为大多数数据都是从服务器到客户端,但客户端返回数据很少。客户端和服务器在建立通信之前必须经历多个阶段。
客户端连接后,就与服务器使用设置(例如屏幕分辨率)、支持功能与许可证信息达成一致。然后,它们就RDP安全类型达成一致,并从两种支持模式中进行选择:一是标准模式,基于RC4;二是增强模式,其中RDP依赖于其他协议,例如TLS或CredSSP。
最后,客户端与服务器必须就所需的通道数量达成一致。所谓通道即单独的数据流,每个数据流都有自己的ID,从而构成远程桌面协议。这些通道可以重定向对文件系统的访问,或启用客户端与服务器之间的剪贴板共享。
RDP相关漏洞及APT组织
BlueKeep
2019年,研究人员发现了RDP中的一个关键漏洞,称为“BlueKeep”,利用该漏洞(CVE-2019-0708)可远程执行随机代码,无需用户执行任何操作,同时无需有效凭证。这些事实结合起来可能会导致蠕虫——可以在易受攻击的系统间自我传播的恶意软件。几年前出现的Wanncry恶意软件中曾发现过了类似事情。BlueKeep的显著特点是它可以连接到较老的Windows系统。这迫使微软采取奇怪的步骤为其不再支持的系统版本制作新补丁。
DejaBlue
2019年8月,研究人员公布DejaBlue——它不是一个漏洞,而是一系列漏洞,类似于BlueKeep,允许攻击者在没有任何形式的身份验证情况下劫持易受攻击的系统。与BlueKeep不同的是,DejaBlue的漏洞位于较新版本的Windows中。有时候,攻击者无需滥用漏洞,只要简单地利用配置错误就能进行攻击。RDP安全中一些常见的风险包括:弱用户登录凭据;未对RDP登录服务器的行为进行记录或监控,这些系统允许攻击者随意尝试蛮力或密码喷洒攻击;未经任何网络过滤公开暴露的系统。
经常利用RDP实施攻击的组织包括:APT41、FIN6、FIN7等组织使用RDP进行横向移动;FLIPSIDE等组织使用RDP来窃取信息,例如,Ngrok 就是一个合法的反向代理,可以通过对RDP中的流量隧道化来渗漏受害者数据;WannaCry恶意软件可以在现有的远程桌面会话中执行恶意软件,这种对会话的“窃取”行为通常称为“RDP劫持”。
防范建议
虽然存在诸多安全风险,但RDP仍然可以为我们提供很多价值。想要保护远程桌面服务器,需要考虑许多关键因素。
首先,补丁管理是基础,确保系统始终保持最新状态,尤其是对于关键的远程访问服务而言,其重要性不言而喻。其次,大多数情况下,组织无需向全世界公开RDP,组织可以使用防火墙、IP限制、通过虚拟专用网限制访问或使用即时访问,后者大大降低了风险,并且可以确保组织在需要时随时访问该服务。再次,确保不要为启用RDP的帐户使用易于猜测的密码。如果不需要,不要允许远程访问所有系统用户。
此外,实现某种形式的自动帐户锁定非常有意义,可以防止攻击者通过暴力破解来猜测密码。组织可能还需要启用网络级别身份验证或NLA——这是一种缓解措施,可防止对RDP隧道的意外访问。
监控和取证工件
无论组织的RDP设置多么安全,总会有攻击者抓到机会的时候。这时,组织需要依靠日志记录和监控来分析正在发生的事情。
RDP取证工件的重要来源包括:命令quser、qwinsta和qprocess提供有关RDP用户、会话和进程的信息;Microsoft-Windows-Terminal-Services-RemoteConnectionManager和Windows-TerminalServices-LocalSessionManager通知客户端网络连接以及RDP会话的起止; 最后,Microsoft-Windows-Security-Auditing包括认证尝试成功或失败的事件。
尽管RDP确实存在诸多风险,而且攻击者对远程访问工具的兴趣也日趋高涨,但这并不意味着组织不能以安全和可控的方式部署它们。如果组织充分考虑上述预防措施,并设置了足够的日志记录和监控策略,应该会收到不错的效果。
教你如何防范远程桌面协议(RDP)的安全威胁相关推荐
- 远程桌面协议 (RDP)
远程序桌面登录的.NET开发,可以使用MSTSCLib.dll和MsTscAxWrapper.dll两个转换过的动态库,而无需使用WINDOWS自带的OCX,因为使用OCX开发可以会遇到其它问题. 主 ...
- 远程桌面协议(RDP)工具 FreeRDP
FreeRDP是一个免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面.FreeRDP 0.9版本是基于GPL开源协议,而自FreeRDP 1.0版本后 ...
- 远程桌面协议(RDP)介绍
远程桌面协议 (RDP) 允许您远程访问计算机.多年来,它免除了许多系统管理操作,无疑是一项非常有用的技术.RDP 长期以来一直提供远程访问支持,而且越来越好.该协议于 1998 年在 Windows ...
- rdp协议打开 windows_Windows远程桌面协议(RDP)
Windows远程桌面协议(RDP)一直以来在安全方面都没能获得最好的声誉.但自从FIPS(联邦信息处理标准)的安全等级被添加到Windows Server 2003 SP1中,Windows远程桌面 ...
- 电脑如何用rdp协议登录服务器,RDP(远程桌面协议).ppt
RDP(远程桌面协议).ppt 第14讲 远程控制 企业需求 服务器通常放置在专用的机房中,网络管理员要管理服务器时,需要频繁进出机房,不是很方便.提供远程控制功能,使得管理员在自己的电脑上就能管理服 ...
- RDP(远程桌面协议)的应用-3389
目录 一.环境 二.简要 三.RDP的操作 一.环境 Windows10 (物理机) 与 VMware下的Windows server2012 (虚拟机)其它的也行 Windows server201 ...
- 【服务器】远程连接选SSH(PUTTY、Finalshell、WinSCP) 还是 远程桌面(RDP、VNC、Xmanager)
如果你手上没有实体服务器,那就可能需要租用服务器提供商的各种类型的服务器. 当租用服务器时,不可避免的一个问题就是服务器的远程连接. 通常,我们会使用SSH协议进行连接,对应的软件有Finalsh ...
- Windows远程桌面协议(RDP)
Windows远程桌面协议(RDP)一直以来在安全方面都没能获得最好的声誉.但自从FIPS(联邦信息处理标准)的安全等级被添加到Windows Server 2003 SP1中,Windows远程桌 ...
- Rapid7警告声明:远程桌面协议(RDP)暴露数百万 Windows 终端
本文讲的是Rapid7警告声明:远程桌面协议(RDP)暴露数百万 Windows 终端,去年6月,卡巴斯基实验室研究人员揭露,黑客利用远程桌面协议(RDP)窃取85,000台来自医院.学校.航空公司和 ...
最新文章
- 重磅:国家正式出台学术不端行为界定
- 一起谈.NET技术,Silverlight 游戏开发小技巧:动感小菜单
- 小李飞刀:SQL题目第二弹!
- linux bin文件制作
- win c语言创建线程,初学者 CWinThread 线程类
- linux开机自启动python脚本_Linux下Python脚本自启动和定时启动的详细步骤
- python可以做科学计算吗_python能做什么科学计算
- C# LINQ 对象克隆
- linux命令大全dfs,Linux常用的dfs命令
- 计算机关机后自行启动,Win7官方旗舰版系统电脑关机后自动开机的解决办法
- Android拍照,相册选择图片以及Android6.0权限管理
- openssl1.1.1下载地址
- BH1750FVI光强度传感器及其STM32驱动程序
- 线性代数学习笔记——第十二讲——求解矩阵方程
- 使用CSS实现图片叠加效果
- 对txt文件批量操作
- 不止“宏彦获水”还有它们!
- 余弦定理和新闻的分类
- 振弦传感器不同线制分类
- qlv如何转换为mp4格式?怎样将qlv转换成mp4格式?