怎樣保護(hù)RDP不受勒索軟件攻擊

本篇文章給大家分享的是有關(guān)怎樣保護(hù)RDP不受勒索軟件攻擊，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

0x00 成文背景

疫情肆虐的這幾個(gè)月，為了保持社交距離，很多企業(yè)都依賴(lài)RDP來(lái)保證公司業(yè)務(wù)的不間斷運(yùn)行。

RDP（Remote Desktop Protocol）是微軟公司開(kāi)發(fā)的一種網(wǎng)絡(luò)通信協(xié)議，它為大多數(shù)Windows操作系統(tǒng)提供了一個(gè)圖形界面，使用戶能夠遠(yuǎn)程連接到服務(wù)器或另一臺(tái)計(jì)算機(jī)。RDP將遠(yuǎn)程服務(wù)器的顯示傳輸?shù)娇蛻魴C(jī)，并將外設(shè)(如鍵盤(pán)和鼠標(biāo))的輸入從客戶機(jī)傳輸?shù)竭h(yuǎn)程服務(wù)器，有效地允許用戶控制遠(yuǎn)程計(jì)算機(jī)，就像他們親自操作它一樣。

然而，很多企業(yè)并沒(méi)有足夠的時(shí)間和資源來(lái)安全地配置RDP，倉(cāng)促的轉(zhuǎn)為遠(yuǎn)程辦公，可能正在為勒索軟件集團(tuán)提供攻擊的機(jī)會(huì)。

根據(jù)McAfee的一份報(bào)告，暴露在互聯(lián)網(wǎng)上的RDP端口數(shù)量從2020年1月份的300萬(wàn)個(gè)增加激增到今年3月的450萬(wàn)個(gè)。

下面，我從三個(gè)方面談?wù)勅绾伪Ｗo(hù)RDP不受勒索軟件的攻擊，希望達(dá)到拋磚引玉的作用。

0x01 攻擊者如何使用RDP部署惡意軟件

在專(zhuān)用網(wǎng)絡(luò)中使用RDP通常被認(rèn)為是一個(gè)安全可靠的工具。然而，當(dāng)RDP端口對(duì)Internet開(kāi)放時(shí)，可能會(huì)出現(xiàn)嚴(yán)重的問(wèn)題，因?yàn)樗试S任何人嘗試連接到遠(yuǎn)程服務(wù)器。如果連接成功，攻擊者將獲得訪問(wèn)服務(wù)器的權(quán)限，并可以在被黑帳戶的權(quán)限內(nèi)做任何事情。

利用RDP部署惡意軟件并不是一個(gè)新的威脅，只是在疫情促使遠(yuǎn)程辦公迅速發(fā)展的同時(shí)，加劇了這一安全風(fēng)險(xiǎn)。

根據(jù)卡巴斯基的一份報(bào)告，2020年3月初，美國(guó)每天約有20萬(wàn)次RDP的暴力襲擊，到4月中旬，這一數(shù)字激增至近130萬(wàn)。如今，RDP被認(rèn)為是勒索軟件最大的單一攻擊載體。

RDP可以通過(guò)多種方式加以利用，主要有以下四種方式：

1. 掃描暴露的RDP端口：攻擊者使用免費(fèi)的、簡(jiǎn)單易用的端口掃描工具，如Shodan，來(lái)掃描整個(gè)Internet以獲取暴露的RDP端口。

2. 嘗試登錄：攻擊者通過(guò)暴力破解用戶名和密碼，地下市場(chǎng)購(gòu)買(mǎi)肉雞，或者有針對(duì)的采用社會(huì)工程的方式登錄。

3. 破壞系統(tǒng)安全性：一旦攻擊者完成提權(quán)，他們就會(huì)集中精力使網(wǎng)絡(luò)盡可能不安全。如禁用防病毒軟件、刪除備份和更改通常被鎖定的配置設(shè)置、修改日志等。

4. 威脅后利用：接觸系統(tǒng)安全性后，便可以部署勒索軟件、部署鍵盤(pán)記錄器、使用肉雞分發(fā)垃圾郵件、竊取敏感數(shù)據(jù)，或者安裝后門(mén)等等，用于以后的攻擊。

0x02 如何防范基于RDP的攻擊

2020年7月，Emisoft我們提出了一個(gè)新的安全策略來(lái)幫助保護(hù)用戶免受RDP的攻擊，即云監(jiān)控RDP。

通過(guò)安全對(duì)應(yīng)的安防系統(tǒng)，實(shí)時(shí)監(jiān)控家庭或企業(yè)用戶的RDP服務(wù)狀態(tài)，管理員可以一目了然的查看特定設(shè)備上是否啟用了RDP。如果檢測(cè)到多次失敗的登錄嘗試，Emsisoft云控制臺(tái)會(huì)向管理員觸發(fā)警報(bào)，管理員可以決定是否在受影響的設(shè)備上禁用RDP。

這種簡(jiǎn)單有效的安全策略，相信不久，也會(huì)在國(guó)內(nèi)大多數(shù)安防軟件上實(shí)現(xiàn)。

0x03 確保RDP安全的8種常見(jiàn)做法

首先第一點(diǎn)，除非必要，否則應(yīng)該始終禁用RDP。

對(duì)于特別需要使用RDP的企業(yè)，以下是工作中防止RDP被暴力攻擊的幾種方法。

1.使用VPN

如前所述，當(dāng)RDP對(duì)Internet開(kāi)放時(shí)會(huì)產(chǎn)生嚴(yán)重的安全風(fēng)險(xiǎn)。相反，組織應(yīng)該使用VPN來(lái)允許遠(yuǎn)程用戶安全地訪問(wèn)公司網(wǎng)絡(luò)，而不將他們的系統(tǒng)暴露給整個(gè)Internet。

2.設(shè)置強(qiáng)密碼

大多數(shù)基于RDP的攻擊依賴(lài)于暴力破解。因此，企業(yè)必須在所有RDP客戶端和服務(wù)器終端上強(qiáng)制使用強(qiáng)密碼，密碼長(zhǎng)、唯一、隨機(jī)。

3.使用多種認(rèn)證

即使是最強(qiáng)大的密碼也可能被泄露。這時(shí)，MFA（Multi-Factor Authentication）提供了另外一層保護(hù)。啟用 MFA 后，用戶登錄RDP，系統(tǒng)要求輸入用戶名和密碼，然后要求輸入來(lái)自其 MFA 設(shè)備的動(dòng)態(tài)驗(yàn)證碼，MFA 設(shè)備可以基于硬件也可以基于軟件。

4.使用防火墻來(lái)限制訪問(wèn)

可以使用防火墻來(lái)限制RDP對(duì)特定IP地址或IP地址范圍的訪問(wèn)。

5.使用RD網(wǎng)關(guān)

Windows server 2008以后的版本，都可以使用RD網(wǎng)關(guān)服務(wù)器，它使用端口 443，可通過(guò)安全套接字層 (SSL) 隧道傳輸數(shù)據(jù)。

6.封IP

短時(shí)間內(nèi)多次的登錄嘗試失敗，通常表明正在進(jìn)行暴力攻擊。Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數(shù)。

7.合理分配遠(yuǎn)程訪問(wèn)權(quán)限

雖然所有管理員在默認(rèn)情況下都可以使用RDP，但許多用戶不需要遠(yuǎn)程訪問(wèn)也能完成他們的工作。企業(yè)應(yīng)該始終遵循“最小特權(quán)”的原則，將RDP訪問(wèn)權(quán)分配給真正需要的人。

8.更改RDP監(jiān)聽(tīng)端口

攻擊者通常通過(guò)掃描Internet以確定監(jiān)聽(tīng)默認(rèn)RDP端口(TCP 3389)的計(jì)算機(jī)來(lái)識(shí)別潛在目標(biāo)。雖然通過(guò)Windows注冊(cè)表更改監(jiān)聽(tīng)端口可以幫助企業(yè)“隱藏”脆弱的連接，但種方法只是一種規(guī)避策略，并不具備防護(hù)性，應(yīng)該算作一種補(bǔ)充技術(shù)吧。

以上就是怎樣保護(hù)RDP不受勒索軟件攻擊，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。