怎樣保護RDP不受勒索軟件攻擊

本篇文章給大家分享的是有關怎樣保護RDP不受勒索軟件攻擊，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

0x00 成文背景

疫情肆虐的這幾個月，為了保持社交距離，很多企業都依賴RDP來保證公司業務的不間斷運行。

RDP（Remote Desktop Protocol）是微軟公司開發的一種網絡通信協議，它為大多數Windows操作系統提供了一個圖形界面，使用戶能夠遠程連接到服務器或另一臺計算機。RDP將遠程服務器的顯示傳輸到客戶機，并將外設(如鍵盤和鼠標)的輸入從客戶機傳輸到遠程服務器，有效地允許用戶控制遠程計算機，就像他們親自操作它一樣。

然而，很多企業并沒有足夠的時間和資源來安全地配置RDP，倉促的轉為遠程辦公，可能正在為勒索軟件集團提供攻擊的機會。

根據McAfee的一份報告，暴露在互聯網上的RDP端口數量從2020年1月份的300萬個增加激增到今年3月的450萬個。

下面，我從三個方面談談如何保護RDP不受勒索軟件的攻擊，希望達到拋磚引玉的作用。

0x01 攻擊者如何使用RDP部署惡意軟件

在專用網絡中使用RDP通常被認為是一個安全可靠的工具。然而，當RDP端口對Internet開放時，可能會出現嚴重的問題，因為它允許任何人嘗試連接到遠程服務器。如果連接成功，攻擊者將獲得訪問服務器的權限，并可以在被黑帳戶的權限內做任何事情。

利用RDP部署惡意軟件并不是一個新的威脅，只是在疫情促使遠程辦公迅速發展的同時，加劇了這一安全風險。

根據卡巴斯基的一份報告，2020年3月初，美國每天約有20萬次RDP的暴力襲擊，到4月中旬，這一數字激增至近130萬。如今，RDP被認為是勒索軟件最大的單一攻擊載體。

RDP可以通過多種方式加以利用，主要有以下四種方式：

1. 掃描暴露的RDP端口：攻擊者使用免費的、簡單易用的端口掃描工具，如Shodan，來掃描整個Internet以獲取暴露的RDP端口。

2. 嘗試登錄：攻擊者通過暴力破解用戶名和密碼，地下市場購買肉雞，或者有針對的采用社會工程的方式登錄。

3. 破壞系統安全性：一旦攻擊者完成提權，他們就會集中精力使網絡盡可能不安全。如禁用防病毒軟件、刪除備份和更改通常被鎖定的配置設置、修改日志等。

4. 威脅后利用：接觸系統安全性后，便可以部署勒索軟件、部署鍵盤記錄器、使用肉雞分發垃圾郵件、竊取敏感數據，或者安裝后門等等，用于以后的攻擊。

0x02 如何防范基于RDP的攻擊

2020年7月，Emisoft我們提出了一個新的安全策略來幫助保護用戶免受RDP的攻擊，即云監控RDP。

通過安全對應的安防系統，實時監控家庭或企業用戶的RDP服務狀態，管理員可以一目了然的查看特定設備上是否啟用了RDP。如果檢測到多次失敗的登錄嘗試，Emsisoft云控制臺會向管理員觸發警報，管理員可以決定是否在受影響的設備上禁用RDP。

這種簡單有效的安全策略，相信不久，也會在國內大多數安防軟件上實現。

0x03 確保RDP安全的8種常見做法

首先第一點，除非必要，否則應該始終禁用RDP。

對于特別需要使用RDP的企業，以下是工作中防止RDP被暴力攻擊的幾種方法。

1.使用VPN

如前所述，當RDP對Internet開放時會產生嚴重的安全風險。相反，組織應該使用VPN來允許遠程用戶安全地訪問公司網絡，而不將他們的系統暴露給整個Internet。

2.設置強密碼

大多數基于RDP的攻擊依賴于暴力破解。因此，企業必須在所有RDP客戶端和服務器終端上強制使用強密碼，密碼長、唯一、隨機。

3.使用多種認證

即使是最強大的密碼也可能被泄露。這時，MFA（Multi-Factor Authentication）提供了另外一層保護。啟用 MFA 后，用戶登錄RDP，系統要求輸入用戶名和密碼，然后要求輸入來自其 MFA 設備的動態驗證碼，MFA 設備可以基于硬件也可以基于軟件。

4.使用防火墻來限制訪問

可以使用防火墻來限制RDP對特定IP地址或IP地址范圍的訪問。

5.使用RD網關

Windows server 2008以后的版本，都可以使用RD網關服務器，它使用端口 443，可通過安全套接字層 (SSL) 隧道傳輸數據。

6.封IP

短時間內多次的登錄嘗試失敗，通常表明正在進行暴力攻擊。Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數。

7.合理分配遠程訪問權限

雖然所有管理員在默認情況下都可以使用RDP，但許多用戶不需要遠程訪問也能完成他們的工作。企業應該始終遵循“最小特權”的原則，將RDP訪問權分配給真正需要的人。

8.更改RDP監聽端口

攻擊者通常通過掃描Internet以確定監聽默認RDP端口(TCP 3389)的計算機來識別潛在目標。雖然通過Windows注冊表更改監聽端口可以幫助企業“隱藏”脆弱的連接，但種方法只是一種規避策略，并不具備防護性，應該算作一種補充技術吧。

以上就是怎樣保護RDP不受勒索軟件攻擊，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。