什么是RDP攻击以及如何防御它们？

Facebook推特领英电子邮件更多的远程桌面协议(RDP) 是 Microsoft 的专有通信协议，它允许运行任何操作系统 (OS) 的设备进行远程连接。IT 管理员可以使用 RDP 远程诊断员工的问题，同时允许他们访问公司资源。尽管是专有的，但一些 RDP 规范是开放的，任何人都可以使用它们来扩展协议的功能并在需要时满足组织要求。

什么是RDP攻击以及如何防御它们？

在过去几年中，RDP 攻击（利用 RDP 的漏洞攻击系统的违规行为）显着增加，威胁参与者利用暴露的端口在许多组织的网络上安装勒索软件。鉴于远程和混合工作场所的大量增加，这并不奇怪。我们将详细了解 RDP 攻击、RDP 用例以及组织如何减轻风险。

RDP 妥协的细分

现在，控制远程连接的斗争比以往任何时候都更加集中在一个地方：传输控制协议 (TCP) 端口 3389。这是所有 RDP 连接的默认端口，通过加密通道为远程用户提供网络访问。要了解如何保护组织免受 RDP 攻击，必须弄清楚这种攻击是如何展开的。

假设您的组织分布有数百甚至数千台连接到企业网络的设备。典型的 RDP 攻击可以通过以下阶段危害企业网络：

初始入侵。在这个阶段，攻击者开始弄清楚如何通过扫描端口 3389 来渗透网络。如果任何连接到网络的活动设备的 RDP 端口打开，它就会作为网络的入口点。鉴于大多数活动设备会受到大量 RDP 连接的影响，任何威胁行为者都可以通过此端口强行进入网络，而不会被安全工具标记。
内部侦察。在最初的妥协之后，攻击者可以开始使用设备自己的子网扫描整个网络以升级渗透。例如，攻击者可以通过分布式计算环境 (DCE)/远程过程调用 (RPC) 向多个端点发起 Windows Management Instrumentation (WMI) 连接并开始触发攻击。
命令与控制。攻击者使用受感染的设备向其他端点和网络发送命令。例如，使用管理身份验证 cookie，他们可以使用受感染的机器创建到非标准端口的新 RDP 连接。
横向运动。在这个阶段，攻击者通过获得更高的权限来检索敏感数据和其他高价值资源，从而深入企业网络。例如，他们可以利用 WMI、PsExec 和 svcctl 等 Windows 管理工具，在网络内横向移动，同时避开组织安全堆栈的检测。

什么是RDP攻击以及如何防御它们？

RDP 用例

RDP 有三个主要用例：

远程故障排除。IT 管理员可以利用该协议来诊断和解决员工面临的设备和应用程序问题。
远程桌面访问。组织可以利用 RDP 向员工提供应用程序和文件，员工可以从任何位置访问这些资源。
远程管理。IT 管理员可以利用该协议对网络服务器进行配置更改。

如何减轻您的风险并保护您免受 RDP 攻击

除非得到充分保护，否则 RDP 很容易成为想要在企业网络中立足、提升权限和窃取机密数据的网络犯罪分子的网关。尽管微软已经多次升级协议，但 RDP 仍然存在弱点。让我们探讨一下IT 团队可以采取哪些措施来减轻 RDP 攻击的风险：

实施基于角色的访问控制 (RBAC) 限制。工人应该只访问完成工作所必需的资源。IT 管理员可以基于多种因素实施访问控制，包括职责、权限和工作能力。
始终为 RDP 启用网络级身份验证 (NLA)。与任何系统一样，用户应始终在启动远程桌面会话之前进行身份验证。因此，您应该只允许来自通过传输层安全 (TLS) 协议运行带有 NLA 的 RDP 的端点的连接。
限制对 RDP 端口的访问。您应该将对端口 3389 的访问限制为特定主机或一组受信任的 Internet 协议 (IP) 地址，并允许连接到特定设备。这意味着服务器不应允许来自未列入白名单的 IP 地址的任何连接。
监控 RDP 利用率。您应该仔细检查 RDP 的持续使用情况并标记任何异常行为。例如，如果您意识到来自特定端点的登录尝试失败，您应该立即将其标记出来。
启用自动 Microsoft 更新。启用更新和升级可确保您拥有适用于客户端和服务器软件的最新版本的 RDP。您还应该优先为已知的公共漏洞修补 RDP 漏洞。
实施帐户锁定政策。当在 RDP 中实施时，帐户锁定策略使潜在的黑客很难破坏合法帐户，并且可以帮助防止凭证填充、暴力攻击和凭证盗窃。此外，它们还有助于保护用户的帐户和数据。
强制使用强密码和多重身份验证 (MFA)。始终要求用户利用强用户名和密码进行 RDP 访问。您还应该强制执行 MFA，尤其是对于通过 RDP 访问公司系统的管理帐户。

什么是RDP攻击以及如何防御它们？