弱用户身份验证和端口定位是远程桌面协议(RDP)中存在的两个主要漏洞。
阅读本文后,您将能够:
复制文章链接
RDP 或远程桌面协议是用于远程桌面会话的主要协议之一,远程会话是员工从其他设备访问其办公室台式计算机时使用的协议。大多数 Windows 操作系统随附 RDP,Mac 也支持 RDP。许多公司依托 RDP 来协助其员工实现居家办公。
漏洞指的是某一软件的构建存在缺陷或错误,使攻击者可以未经授权而进行访问。这就像是房屋大门上门闩安装不当导致犯罪分子闯入屋内。
下面列出了 RDP 中最重要的漏洞:
*在网络中,端口指的是为某些类型的连接指定的基于软件的逻辑位置。将不同的进程分配到不同的端口有助于计算机跟踪这些进程。例如,HTTP 流量始终流向端口 80,而 HTTPS 流量始终流向端口 443。
减少弱登录凭据的普遍性:
单点登录 (SSO):许多企业已使用 SSO 服务来管理各种应用程序的用户登录。SSO 为企业提供了一种更简单的方法来强制使用强密码,以及实施双因素身份验证 (2FA) 等更加安全的措施。可将 RDP 远程访问移到 SSO 后面,来修复上述用户登录漏洞。例如,Cloudflare Zero Trust 可协助企业实现这个目标。
密码管理和实施:对于某些公司,将 RDP 移到 SSO 后面可能不是一种选择。但在最低程度上,他们应要求员工将其台式机密码重置为更强的密码。
防范基于端口的攻击:
锁定端口 3389:安全隧道软件有助于阻止攻击者发送到达端口 3389 的请求。使用安全隧道(例如Cloudflare Tunnel)后,将会拦截所有未通过隧道的请求。
防火墙规则:可以手动配置公司防火墙,以便只有来自列入白名单的IP 地址范围(例如,已知属于员工的设备)的流量才能通过端口 3389。但是,此方法需要大量人工操作。如果攻击者劫持了列入白名单的 IP 地址或员工设备被盗用,仍然容易受到攻击。此外,通常很难预先识别所有员工设备并将其列入允许名单,因而被阻止的员工会不断提出 IT 请求。
RDP 还有其他在技术上已得到修补的漏洞,但若不加以检查,这些漏洞仍然很严重。
RDP 中最严重的一个漏洞称为“BlueKeep”。BlueKeep(官方分类为CVE-2019-0708)是这样一个漏洞,如果攻击者向特定端口(通常为 3389)发送经特殊设计的请求,则攻击者可以在计算机上执行所需的任何代码。BlueKeep 具有蠕虫性质,这意味着它可以传播到网络中的所有计算机,无需用户采取任何行动。
最好的防御方法是禁用 RDP,除非有必要时。利用防火墙屏蔽端口 3389 也有帮助。微软最终于 2019 年发布了一个补丁程序来纠正此漏洞,系统管理员务必安装这个补丁程序。
像任何其他程序或协议一样,RDP 也具有其他几个漏洞,大多可通过始终使用协议的最新版本来消除。供应商通常会在他们发布的每个新版本软件中修补漏洞。
Cloudflare Zero Trust 与 Cloudflare Tunnel 可以联合消除上述两个主要的 RDP 漏洞。使用 Cloudflare 的一个优势在于,它与典型的企业防火墙不同,它不是以硬件为基础,也无需手动配置。使用 Argo Tunnel 保护 RDP 连接的操作通常很简单,只需在 Cloudflare 仪表板中点击几下即可。如需了解 Cloudflare 和 RDP 的更多信息,请阅读博客文章或观看演示。