远程桌面协议安全吗？

为远程工作设置远程桌面协议 (RDP) 的大多数问题涉及通过公共互联网访问 RDP。RDP 本身不是一个安全的设置，因此需要额外的安全措施来保护工作站和服务器。如果没有适当的安全协议，组织将面临多种潜在风险，包括增加的网络攻击风险。这些攻击的典型目标往往是小型企业，因为它们通常缺乏防范和应对网络威胁的手段。

网络犯罪分子已经注意到越来越多地采用 RDP，并正在利用这些服务器暴露的漏洞。从 2020 年第一季度到第四季度，针对 RDP 的攻击激增了 768%。Kroll 在 10 月份发布的一份报告指出，47% 的勒索软件攻击是在 RDP 入侵之前发生的。

Shodan 是一个搜索引擎，旨在扫描具有暴露于 Internet 的某些端口或协议的设备，它发现暴露了超过 400 万个 RDP 端口，以及至少 14,000 个可从 Internet 访问的 Windows RDP 服务器。

在许多情况下，具有可公开访问 Internet 的 RDP 的服务器无法启用多因素身份验证 (MFA)。这意味着，通过暴力破解暴露弱密码或重复使用的密码来破坏用户帐户的攻击者可以轻松地通过 RDP 访问用户的工作站。

通过这种简单的攻击，攻击者可能能够获得对组织公开网络的完全访问权限。之所以会发生这种情况，是因为这些类型的帐户由集中式系统在域级别进行管理，这意味着所有系统都使用相同的凭据。

利用这些漏洞只涉及确定访问系统的帐户凭据，因此，即使是黑客新手也有能力利用 RDP。尽管攻击本身不需要太多技巧，但影响却相当大。这些攻击可能会危及组织的服务器并导致远程访问服务的潜在损失。

为什么攻击者吧目前指向了 RDP

由于多种不同的原因，RDP 漏洞是网络犯罪分子中流行的常见漏洞利用。RDP 攻击的一些最常见目的是：分布式拒绝服务 (DDoS) 攻击和勒索软件入侵。

DDoS 攻击

在分布式拒绝服务 (DDoS) 攻击中，目标是将尽可能多的数据发送到目标网站或服务器，以压倒它并使其离线。DDoS 攻击者使用各种不同的方法来实现这一点，例如大型僵尸网络或称为 DDoS 放大的技术，它利用发送比初始请求大得多的响应的服务。DDoS 攻击者会伪装成他们的目标，向这些服务发送流量。然后目标网站或服务器充斥巨大数据量。

RDP 服务器是潜在的 DDoS 放大器，放大系数为 85.9。因此，攻击者可以滥用这些服务向他们的目标发送大量流量，使他们脱机。对 RDP 日益增长的威胁使得组织在其面向 Internet 的系统上安装反 DDoS 保护变得至关重要。

勒索软件传送

在 COVID-19 大流行期间，勒索软件最常见的传送机制越来越倾向于利用 RDP。在使用 RDP 访问组织的网络后，勒索软件运营商能够探索网络并将勒索软件植入高价值系统。此外，一些威胁行为者通过在加密受害者的文件之前泄露敏感数据，然后通过威胁将数据发布到“目标网站”来勒索受害者，如果赎金要求得不到满足，从而增强了他们的勒索软件策略。

由于勒索软件的利益与效率性，已经激发了一些勒索软件团伙将其几乎专门用作攻击媒介。

保护 RDP 的选项

RDP 是组织安全的重大风险。保护 RDP 存在多种不同的选项，它们在有效性和可用性方面存在显着差异。

最不有效：基于 IP 的访问列表

保护 RDP 免受攻击的一种潜在解决方案是限制对 RDP 解决方案的访问。这可以通过实施仅允许来自特定 IP 地址的 RDP 连接的访问控制列表 (ACL) 来实现。

虽然这在理论上可行，但在实践中，由于多种原因，这不是一个好的解决方案，包括：

· 可管理性： ACL 要求组织明确定义哪些 IP 地址应该和不应该被允许访问 RDP。对于远程员工，如果员工尝试在不同地点工作或使用动态分配的 IP 地址，此列表可能会不断变化。

· 外围焦点：这种 RDP 安全方法侧重于阻止攻击者对组织网络的初始访问。然而，如果攻击者进入网络，没有什么可以阻止他们横向移动。

· 受损端点：基于 IP 的访问管理限制了对特定机器的 RDP 访问，但对防止这些机器的攻击没有任何作用。安装在员工端点上的恶意软件不会被阻止通过 RDP 连接到企业网络。

有效：虚拟专用网络

虚拟专用网络 (VPN) 是一种常用的远程访问解决方案。它们旨在为远程用户和企业网络之间的网络流量提供加密隧道。VPN 还支持诸如 MFA 之类的安全解决方案，这些解决方案有助于减轻被盗帐户的威胁。

然而，虽然 VPN 是一种常用的解决方案和纵深防御安全措施，但它们存在漏洞，并且经常成为试图部署恶意软件的网络威胁参与者的目标。VPN 用户必须认识到其固有的弱点，并在提供时上传安全补丁升级。

这意味着部署 VPN 基础设施可能会在组织的网络中产生额外的漏洞。事实上，VPN 漏洞是网络威胁参与者最常利用的漏洞之一，并且作为勒索软件传播媒介紧随 RDP 之后。

最有效：虚拟桌面解决方案

基于 IP 的 ACL 和 VPN 的问题在于它们专注于保护组织网络的初始接入点。保护远程工作的更好方法同时考虑员工或攻击者可以远程访问的路径和系统。

保护 RDP 的最佳解决方案是将其与使用单点登录进行用户身份验证的虚拟桌面解决方案（例如 Citrix 或 VMware Horizons）结合使用。借助虚拟桌面解决方案，组织可以实施 MFA 来控制访问，并更好地了解和控制可远程访问的端点及其存储、处理和传输的数据。这种增强的可见性和控制有助于防止威胁在网络内横向移动，并使实施安全远程访问变得更加容易。

结论

使用 RDP 的组织有可能存在大量漏洞被不良行为者利用。明智的做法是考虑进行专门的远程工作安全评估，它可以帮助识别网络中的安全漏洞，并提供增强网络安全性的提示和技巧。