遠程桌面協(xié)議：它是什么？如何保護它？

最近遠程桌面協(xié)議（RDP）中發(fā)現(xiàn)的漏洞讓大家將目光都聚焦在它身上。知名網(wǎng)絡(luò)安全專家Dan Kaminsky近日表示，RDP目前正用于500多萬個互聯(lián)網(wǎng)端點中，可以想象，如果企業(yè)沒有妥善保護RDP，網(wǎng)絡(luò)和端點安全將受到嚴重威脅。

在這篇文章中，我們將簡要地探討什么是RDP，為什么我們需要RDP以及它用于企業(yè)端點的最常見方式。然后，我們將探討企業(yè)如何確保RDP的安全使用，或者在適當?shù)臅r候，如何確保它沒有被使用。

什么是RDP？

遠程桌面協(xié)議是微軟公司創(chuàng)建的專有協(xié)議。它允許系統(tǒng)用戶通過圖形用戶界面連接到遠程系統(tǒng)。在默認情況下，該協(xié)議的客戶端代理內(nèi)置在微軟的操作系統(tǒng)中，但也可以安裝在非微軟操作系統(tǒng)中，例如蘋果的操作系統(tǒng)、不同版本的Linux，甚至還可以安裝在移動操作系統(tǒng)中，例如Android。

RDP的服務(wù)器端安裝在微軟操作系統(tǒng)上，從客戶端代理接收請求，顯示發(fā)布應(yīng)用程序的圖，或者遠程訪問系統(tǒng)本身。在默認情況下，系統(tǒng)在端口3389來監(jiān)聽來自客戶端的通過RDP的連接請求。

RDP在企業(yè)的最常用方式？

通常情況下，RDP或者終端服務(wù)會話被配置在需要分布式客戶端機器來連接的服務(wù)器上。它可以用于管理、遠程訪問，或者發(fā)布用于中央使用的應(yīng)用程序。該協(xié)議還常被桌面管理員用來遠程訪問用戶系統(tǒng)，以協(xié)助排除故障。如果RDP沒有正確配置的話，這種特定功能將會給企業(yè)帶來威脅，因為未授權(quán)訪問者將可以訪問關(guān)鍵企業(yè)系統(tǒng)。

如何保護RDP

現(xiàn)在我們了解了什么是RDP以及企業(yè)如何使用它，以下是保護RDP的一些方法：

確認在客戶端和服務(wù)器之間使用了128位加密；128位加密允許使用更強大的不太容易被破解的密鑰。在默認情況下，RDP連接會嘗試使用128位加密，但如果它不能使用128位加密的話，客戶端很可能會回到64位加密。為了確保系統(tǒng)不會回落到較低級別的加密，管理員可以將組策略對象（GPO）配置為符合各自標準的加密級別。我們建議大家啟用“高級”加密。

如果訪問系統(tǒng)需要通過外部網(wǎng)絡(luò)，不應(yīng)該開放端口讓任何人都可以濫用，我們建議將VPN配置為返回網(wǎng)絡(luò)，然后使用RDP。更好的辦法是創(chuàng)建一個遠程桌面網(wǎng)關(guān)，允許通過HTTPS和RDP的遠程連接來創(chuàng)建一個更安全的加密連接來連接端點。這兩種方法都建議保持外圍網(wǎng)絡(luò)RDP端口3389的開放。

通過使用較新版本的windows操作系統(tǒng)，在建立對RDP主機服務(wù)器的連接之前，管理員可以啟用網(wǎng)絡(luò)級身份驗證（NLA）作為身附加的份驗證。這使身份驗證從系統(tǒng)脫離出來，占用更少的資源。這還有助于減少潛在通過暴力破解實施的拒絕服務(wù)（DoS）攻擊。NLA作為一個緩沖區(qū)，防止攻擊者使用訪問請求來阻塞RDP主機服務(wù)器。

在默認情況下，RDP主機系統(tǒng)在3389端口監(jiān)聽來自RDP客戶端的連接請求。我們可以改變RDP服務(wù)的這個監(jiān)聽端口，以防止惡意軟件或者攻擊者通過掃描系統(tǒng)來找尋端口3389的RDP，從而保護網(wǎng)絡(luò)安全。然而，這種“模糊安全”方法可能會導(dǎo)致錯誤和疏忽。你可以改變端口，但是你需要一個很好的理由。