如何保護遠程桌面協(xié)議（RDP）網(wǎng)絡(luò )端點(diǎn)安全？

• 在外圍網(wǎng)絡(luò )或者操作系統使用防火墻來(lái)過(guò)濾入站請求，只允許經(jīng)批準的來(lái)源和目的地通過(guò)RDP連接，可以限制能夠連接到這些服務(wù)器的用戶(hù)。如果某個(gè)特定群體的人只能連接到特定服務(wù)器組，圍繞這些請求來(lái)修改防火墻規則將有助于控制訪(fǎng)問(wèn)權限。

• 確定誰(shuí)能夠建立到服務(wù)器的RDP連接?？紤]將RDP訪(fǎng)問(wèn)限制到特定群體(通過(guò)組策略或者對目標計算機手動(dòng)操作)，而不是對所有人開(kāi)放，限制訪(fǎng)問(wèn)權限。同時(shí)，我們建議將本地管理員賬戶(hù)從RDP訪(fǎng)問(wèn)刪除，所有用戶(hù)的賬戶(hù)都應該提前在系統中進(jìn)行明確定義。

• 雖然NLA可以當做某種形式的身份驗證，使用SSL證書(shū)來(lái)驗證到主機系統的客戶(hù)端請求是用于RDP最好的驗證方法。將證書(shū)安裝在系統和RDP客戶(hù)端上，只有證書(shū)通過(guò)驗證，才可以建立RDP會(huì )話(huà)。

• 確保所有運行RDP的系統都安裝了最新的修復補丁，特別是在最近導致微軟發(fā)出安全公告MS12-020的事件之后。

• 最后，使用GPO來(lái)強制執行密碼政策，要求在域中使用一定長(cháng)度的密碼，并設置鎖定政策以防止攻擊者暴力破解入侵服務(wù)器。

抵御惡意使用RDP

上述方法可以幫助企業(yè)保護在企業(yè)中使用RDP?，F在，讓我們看看企業(yè)應該如何驗證RDP有沒(méi)有被使用，以保護企業(yè)免受RDP惡意使用或者未經(jīng)授權的安裝。

• 在網(wǎng)絡(luò )內部和外部運行漏洞或端口掃描，可以幫助確認是否有任何系統在監聽(tīng)RDP連接。在內部運行這種掃描，可以確認哪些系統在運行RDP，然后由企業(yè)的團隊來(lái)確實(shí)他們是否應該運行這些軟件。從外部網(wǎng)絡(luò )的角度來(lái)看，如果掃描結果顯示RDP監聽(tīng)來(lái)自外部，IT團隊必須盡快采取行動(dòng)。很多漏洞掃描器發(fā)現RDP在非標準端口運行，這可以幫助企業(yè)找出試圖偷偷RDP安裝的人。

• 使用日志記錄或者安全事故和事件管理(SIEM)系統來(lái)確定哪些設備正在監聽(tīng)和接收RDP會(huì )話(huà)，這可以讓你了解網(wǎng)絡(luò )中正在發(fā)生何種類(lèi)型的RDP連接。某些系統是否出現多次失敗登錄?其他系統是否在接受不應該接受的連接?

• 最后，確保系統沒(méi)有不恰當使用RDP的最好方法是：定義一個(gè)組策略，只允許經(jīng)批準的系統來(lái)運行RDP。

總而言之，RDP是一個(gè)偉大的工具，管理員和用戶(hù)可以從一個(gè)中央位置使用RDP來(lái)建立對系統的多個(gè)連接。管理員還可以將RDP用于遠程系統管理，但是和其他系統一樣，如果連接和軟件不安全的話(huà)，企業(yè)可能面臨風(fēng)險。了解RDP如何運作，為什么要使用RDP以及如何保護RDP安全，能夠幫助管理員更好地保護其系統。