RDP 有哪些安全风险？| RDP 漏洞

什么是 RDP？

RDP 或远程桌面协议是用于远程桌面会话的主要协议之一，远程会话是员工从其他设备访问其办公室台式计算机时使用的协议。大多数 Windows 操作系统随附 RDP，Mac 也支持 RDP。许多公司依托 RDP 来协助其员工实现居家办公。

常见的 Web 应用程序安全漏洞有哪些？

漏洞指的是某一软件的构建存在缺陷或错误，使攻击者可以未经授权而进行访问。这就像是房屋大门上门闩安装不当导致犯罪分子闯入屋内。

下面列出了 RDP 中最重要的漏洞：

1. 用户登录凭证羸弱。大多数台式计算机使用密码进行保护，用户常常会随意设置这些密码。问题在于，同样的密码常常也会用于 RDP 远程登录。公司通常不管理这些密码以确保其强度，常常让这些远程连接暴露于暴力或凭证填充攻击。
2. 端口访问不设限制。RDP 连接几乎总是在端口 3389*。攻击者可以假定这是使用中的端口，并将其作为目标来进行在途攻击。

*在网络中，端口指的是为某些类型的连接指定的基于软件的逻辑位置。将不同的进程分配到不同的端口有助于计算机跟踪这些进程。例如，HTTP 流量始终流向端口 80，而 HTTPS 流量始终流向端口 443。

有哪些方式可以解决这些 RDP 漏洞？

减少弱登录凭据的普遍性：

单点登录 (SSO)：许多企业已使用 SSO 服务来管理各种应用程序的用户登录。SSO 为企业提供了一种更简单的方法来强制使用强密码，以及实施双因素身份验证 (2FA) 等更加安全的措施。可将 RDP 远程访问移到 SSO 后面，来修复上述用户登录漏洞。例如，Cloudflare Zero Trust 可协助企业实现这个目标。

密码管理和实施：对于某些公司，将 RDP 移到 SSO 后面可能不是一种选择。但在最低程度上，他们应要求员工将其台式机密码重置为更强的密码。

防范基于端口的攻击：

锁定端口 3389：安全隧道软件有助于阻止攻击者发送到达端口 3389 的请求。使用安全隧道（例如Cloudflare Tunnel）后，将会拦截所有未通过隧道的请求。

防火墙规则：可以手动配置公司防火墙，以便只有来自列入白名单的IP 地址范围（例如，已知属于员工的设备）的流量才能通过端口 3389。但是，此方法需要大量人工操作。如果攻击者劫持了列入白名单的 IP 地址或员工设备被盗用，仍然容易受到攻击。此外，通常很难预先识别所有员工设备并将其列入允许名单，因而被阻止的员工会不断提出 IT 请求。

RDP 还有哪些其他漏洞？

RDP 还有其他在技术上已得到修补的漏洞，但若不加以检查，这些漏洞仍然很严重。

RDP 中最严重的一个漏洞称为“BlueKeep”。BlueKeep（官方分类为CVE-2019-0708）是这样一个漏洞，如果攻击者向特定端口（通常为 3389）发送经特殊设计的请求，则攻击者可以在计算机上执行所需的任何代码。BlueKeep 具有蠕虫性质，这意味着它可以传播到网络中的所有计算机，无需用户采取任何行动。

最好的防御方法是禁用 RDP，除非有必要时。利用防火墙屏蔽端口 3389 也有帮助。微软最终于 2019 年发布了一个补丁程序来纠正此漏洞，系统管理员务必安装这个补丁程序。

像任何其他程序或协议一样，RDP 也具有其他几个漏洞，大多可通过始终使用协议的最新版本来消除。供应商通常会在他们发布的每个新版本软件中修补漏洞。

Cloudflare 如何帮助保护 RDP 访问安全？

为了简化和保护 RDP 访问，Cloudflare 构建了一个快速执行的 RDP 代理，其中纳入了我们的 SASE 平台 Zero Trust 安全控制。Cloudflare 现在提供无客户端、基于浏览器的 RDP 访问：无需额外基础设施，也无需在客户端设备上进行额外的配置。进一步了解 Cloudflare 的 SASE 平台和 RDP 访问。

常见问题解答

What is the Remote Desktop Protocol (RDP)?

RDP is a common technical standard that allows individuals to use a computer from a different location. Companies frequently use this protocol to help employees access their office computers while working from home.

What are the primary security vulnerabilities associated with RDP?

The two most significant risks are weak login credentials and unrestricted access to port 3389. Because many organizations do not manage RDP passwords through centralized systems, users often use simple or reused passwords that are easy for attackers to guess. Additionally, since RDP uses port 3389, attackers can target this specific port to launch attacks or gain unauthorized entry.

What is the BlueKeep vulnerability?

BlueKeep is a critical security flaw, officially labeled CVE-2019-0708, that allows attackers to run unauthorized code on a computer by sending a specific type of request to its RDP port. This vulnerability is "wormable," meaning it can automatically spread across an entire network to other computers without any help from a user.

How does single sign-on (SSO) help protect remote desktop sessions?

Integrating RDP with an SSO service allows organizations to move remote access behind a more secure login process. This enables companies to enforce stronger password requirements and implement additional security layers, such as two-factor authentication (2FA), to verify a user's identity more effectively.

How can organizations secure port 3389 from attackers?

Organizations can protect this port by using secure tunneling software that blocks any requests that do not travel through a designated, secure path. Another option is to set up firewall rules that only allow traffic from specific, trusted IP addresses, though this method can be difficult to manage manually for large teams.

How does Cloudflare assist in securing RDP connections?

Cloudflare provides a fast RDP proxy that applies Zero Trust security controls to every connection. By using tools like Cloudflare Access and secure tunnels, companies can hide their RDP resources from the public Internet and ensure that only authenticated users with the correct permissions can gain entry.