Facebook推特领英电子邮件更多的远程桌面协议(RDP)是Microsoft的专有通信协议,它允许运行任何操作系统(OS)的设备进行远程连接。IT管理员可以使用RDP远程诊断员工的问题,同时允许他们访问公司资源。尽管是专有的,但一些RDP规范是开放的,任何人都可以使用它们来扩展协议的功能并在需要时满足组织要求。
在过去几年中,RDP攻击(利用RDP的漏洞攻击系统的违规行为)显着增加,威胁参与者利用暴露的端口在许多组织的网络上安装勒索软件。鉴于远程和混合工作场所的大量增加,这并不奇怪。我们将详细了解RDP攻击、RDP用例以及组织如何减轻风险。
RDP妥协的细分
现在,控制远程连接的斗争比以往任何时候都更加集中在一个地方:传输控制协议(TCP)端口3389。这是所有RDP连接的默认端口,通过加密通道为远程用户提供网络访问。要了解如何保护组织免受RDP攻击,必须弄清楚这种攻击是如何展开的。
假设您的组织分布有数百甚至数千台连接到企业网络的设备。典型的RDP攻击可以通过以下阶段危害企业网络:
初始入侵。在这个阶段,攻击者开始弄清楚如何通过扫描端口3389来渗透网络。如果任何连接到网络的活动设备的RDP端口打开,它就会作为网络的入口点。鉴于大多数活动设备会受到大量RDP连接的影响,任何威胁行为者都可以通过此端口强行进入网络,而不会被安全工具标记。
内部侦察。在最初的妥协之后,攻击者可以开始使用设备自己的子网扫描整个网络以升级渗透。例如,攻击者可以通过分布式计算环境(DCE)/远程过程调用(RPC)向多个端点发起WindowsManagementInstrumentation(WMI)连接并开始触发攻击。
命令与控制。攻击者使用受感染的设备向其他端点和网络发送命令。例如,使用管理身份验证cookie,他们可以使用受感染的机器创建到非标准端口的新RDP连接。
横向运动。在这个阶段,攻击者通过获得更高的权限来检索敏感数据和其他高价值资源,从而深入企业网络。例如,他们可以利用WMI、PsExec和svcctl等Windows管理工具,在网络内横向移动,同时避开组织安全堆栈的检测。
远程故障排除。IT管理员可以利用该协议来诊断和解决员工面临的设备和应用程序问题。
远程桌面访问。组织可以利用RDP向员工提供应用程序和文件,员工可以从任何位置访问这些资源。
远程管理。IT管理员可以利用该协议对网络服务器进行配置更改。
除非得到充分保护,否则RDP很容易成为想要在企业网络中立足、提升权限和窃取机密数据的网络犯罪分子的网关。尽管微软已经多次升级协议,但RDP仍然存在弱点。让我们探讨一下IT团队可以采取哪些措施来减轻RDP攻击的风险:
实施基于角色的访问控制(RBAC)限制。工人应该只访问完成工作所必需的资源。IT管理员可以基于多种因素实施访问控制,包括职责、权限和工作能力。
始终为RDP启用网络级身份验证(NLA)。与任何系统一样,用户应始终在启动远程桌面会话之前进行身份验证。因此,您应该只允许来自通过传输层安全(TLS)协议运行带有NLA的RDP的端点的连接。
限制对RDP端口的访问。您应该将对端口3389的访问限制为特定主机或一组受信任的Internet协议(IP)地址,并允许连接到特定设备。这意味着服务器不应允许来自未列入白名单的IP地址的任何连接。
监控RDP利用率。您应该仔细检查RDP的持续使用情况并标记任何异常行为。例如,如果您意识到来自特定端点的登录尝试失败,您应该立即将其标记出来。
启用自动Microsoft更新。启用更新和升级可确保您拥有适用于客户端和服务器软件的最新版本的RDP。您还应该优先为已知的公共漏洞修补RDP漏洞。
实施帐户锁定政策。当在RDP中实施时,帐户锁定策略使潜在的黑客很难破坏合法帐户,并且可以帮助防止凭证填充、暴力攻击和凭证盗窃。此外,它们还有助于保护用户的帐户和数据。
强制使用强密码和多重身份验证(MFA)。始终要求用户利用强用户名和密码进行RDP访问。您还应该强制执行MFA,尤其是对于通过RDP访问公司系统的管理帐户。
了解RDP软件和网络安全
由于对远程和混合工作场所的需求不断增加,许多RDP软件供应商已经出现,以提供满足现代劳动力需求的各种解决方案。RDP软件允许IT团队连接到多个异构端点并访问资源,同时使用户能够访问企业资源。让我们探索这些解决方案拥有的一些基本网络安全功能。
身份和访问管理(IAM)功能。RDP解决方案仅允许授权用户通过实施网络访问控制、MFA和单点登录(SSO)机制来访问企业资源。
加密通信。RDP解决方案可以通过TLS等协议对通道进行加密,以防止未经授权的访问。
合规标准。RDP软件必须遵守监管标准,例如通用数据保护条例(GDPR)和支付卡行业数据安全标准(PCIDSS)。
可靠的更新周期。RDP解决方案必须具有可预测的补丁周期,以消除已知漏洞和错误。
标签:
