如何減輕您的風險并保護您免受RDP攻擊
      
                                    
                                
      
                                
      
                                    
      Facebook推特領英電子郵件更多的遠程桌面協議(RDP) 是 Microsoft 的專有通信協議,它允許運行任何操作系統 (OS) 的設備進行遠程連接。IT 管理員可以使用 RDP 遠程診斷員工的問題,同時允許他們訪問公司資源。盡管是專有的,但一些 RDP 規范是開放的,任何人都可以使用它們來擴展協議的功能并在需要時滿足組織要求。
      

      如何減輕您的風險并保護您免受RDP攻擊-南華中天
      

      在過去幾年中,RDP 攻擊(利用 RDP 的漏洞攻擊系統的違規行為)顯著增加,威脅參與者利用暴露的端口在許多組織的網絡上安裝勒索軟件。鑒于遠程和混合工作場所的大量增加,這并不奇怪。我們將詳細了解 RDP 攻擊、RDP 用例以及組織如何減輕風險。
      

      RDP 妥協的細分
      

      現在,控制遠程連接的斗爭比以往任何時候都更加集中在一個地方:傳輸控制協議 (TCP) 端口 3389。這是所有 RDP 連接的默認端口,通過加密通道為遠程用戶提供網絡訪問。要了解如何保護組織免受 RDP 攻擊,必須弄清楚這種攻擊是如何展開的。
      

      假設您的組織分布有數百甚至數千臺連接到企業網絡的設備。典型的 RDP 攻擊可以通過以下階段危害企業網絡:
      

        

      1. 初始入侵。在這個階段,攻擊者開始弄清楚如何通過掃描端口 3389 來滲透網絡。如果任何連接到網絡的活動設備的 RDP 端口打開,它就會作為網絡的入口點。鑒于大多數活動設備會受到大量 RDP 連接的影響,任何威脅行為者都可以通過此端口強行進入網絡,而不會被安全工具標記。
        2. 

      2. 內部偵察。在最初的妥協之后,攻擊者可以開始使用設備自己的子網掃描整個網絡以升級滲透。例如,攻擊者可以通過分布式計算環境 (DCE)/遠程過程調用 (RPC) 向多個端點發起 Windows Management Instrumentation (WMI) 連接并開始觸發攻擊。
        3. 

      3. 命令與控制。攻擊者使用受感染的設備向其他端點和網絡發送命令。例如,使用管理身份驗證 cookie,他們可以使用受感染的機器創建到非標準端口的新 RDP 連接。
        4. 

      4. 橫向運動。在這個階段,攻擊者通過獲得更高的權限來檢索敏感數據和其他高價值資源,從而深入企業網絡。例如,他們可以利用 WMI、PsExec 和 svcctl 等 Windows 管理工具,在網絡內橫向移動,同時避開組織安全堆棧的檢測。
        5. 

      

      如何減輕您的風險并保護您免受RDP攻擊-南華中天
      

      RDP 用例
      

      RDP 有三個主要用例:
      

        

      • 遠程故障排除。IT 管理員可以利用該協議來診斷和解決員工面臨的設備和應用程序問題。
        • 

      • 遠程桌面訪問。組織可以利用 RDP 向員工提供應用程序和文件,員工可以從任何位置訪問這些資源。
        • 

      • 遠程管理。IT 管理員可以利用該協議對網絡服務器進行配置更改。
        • 

      

      如何減輕您的風險并保護您免受 RDP 攻擊
      

      除非得到充分保護,否則 RDP 很容易成為想要在企業網絡中立足、提升權限和竊取機密數據的網絡犯罪分子的網關。盡管微軟已經多次升級協議,但 RDP 仍然存在弱點。讓我們探討一下IT 團隊可以采取哪些措施來減輕 RDP 攻擊的風險:
      

        

      • 實施基于角色的訪問控制 (RBAC) 限制。工人應該只訪問完成工作所必需的資源。IT 管理員可以基于多種因素實施訪問控制,包括職責、權限和工作能力。
        • 

      • 始終為 RDP 啟用網絡級身份驗證 (NLA)。與任何系統一樣,用戶應始終在啟動遠程桌面會話之前進行身份驗證。因此,您應該只允許來自通過傳輸層安全 (TLS) 協議運行帶有 NLA 的 RDP 的端點的連接。
        • 

      • 限制對 RDP 端口的訪問。您應該將對端口 3389 的訪問限制為特定主機或一組受信任的 Internet 協議 (IP) 地址,并允許連接到特定設備。這意味著服務器不應允許來自未列入白名單的 IP 地址的任何連接。
        • 

      • 監控 RDP 利用率。您應該仔細檢查 RDP 的持續使用情況并標記任何異常行為。例如,如果您意識到來自特定端點的登錄嘗試失敗,您應該立即將其標記出來。
        • 

      • 啟用自動 Microsoft 更新。啟用更新和升級可確保您擁有適用于客戶端和服務器軟件的最新版本的 RDP。您還應該優先為已知的公共漏洞修補 RDP 漏洞。
        • 

      • 實施帳戶鎖定政策。當在 RDP 中實施時,帳戶鎖定策略使潛在的黑客很難破壞合法帳戶,并且可以幫助防止憑證填充、暴力攻擊和憑證盜竊。此外,它們還有助于保護用戶的帳戶和數據。
        • 

      • 強制使用強密碼和多重身份驗證 (MFA)。始終要求用戶利用強用戶名和密碼進行 RDP 訪問。您還應該強制執行 MFA,尤其是對于通過 RDP 訪問公司系統的管理帳戶。
        • 

      

      如何減輕您的風險并保護您免受RDP攻擊-南華中天
      

      了解 RDP 軟件和網絡安全
      

      由于對遠程和混合工作場所的需求不斷增加,許多RDP 軟件供應商已經出現,以提供滿足現代勞動力需求的各種解決方案。RDP 軟件允許 IT 團隊連接到多個異構端點并訪問資源,同時使用戶能夠訪問企業資源。讓我們探索這些解決方案擁有的一些基本網絡安全功能。
      

        

      • 身份和訪問管理 (IAM) 功能。RDP 解決方案僅允許授權用戶通過實施網絡訪問控制、MFA 和單點登錄 (SSO) 機制來訪問企業資源。
        • 

      • 加密通信。RDP 解決方案可以通過 TLS 等協議對通道進行加密,以防止未經授權的訪問。
        • 

      • 合規標準。RDP 軟件必須遵守監管標準,例如通用數據保護條例 (GDPR) 和支付卡行業數據安全標準 (PCI DSS)。
        • 

      • 可靠的更新周期。RDP 解決方案必須具有可預測的補丁周期,以消除已知漏洞和錯誤。
        •