RDP安全层概述：它的有效性如何？

远程桌面协议 (RDP) 是 Microsoft 开发的一种便于远程访问的安全网络协议。该协议为远程桌面连接提供三种安全通信：RDP 安全层、协商和安全套接字层 (SSL)。

RDP 安全层使用本机加密机制来保护客户端和服务器之间的连接，而协商方法则选择客户端支持的最安全的层。相反，如果客户端具有有效证书并支持 TLS 1.0，则 SSL 使用传输层安全版本 1.0 (TLS 1.0) 对服务器进行身份验证。

RDP 漏洞是网络犯罪的热门目标

对于在冠状病毒大流行之后需要紧急将员工从内部部署到混合工作环境的组织来说，RDP 成为一种流行的选择。根据Business Fortune Insights的数据，2019 年全球远程桌面软件市场规模为 15.3 亿美元。该公司预计该市场份额将以 15.1% 的复合年增长率 (CAGR) 增长，到 2027 年将达到 46.9 亿美元。

RDP 的流行使其成为网络犯罪分子的目标。在大流行之前，大多数员工在办公室工作并使用 IT 管理员密切监控的资源。向远程工作的转变意味着企业必须允许员工在自带设备 (BYOD)框架下使用他们喜欢的设备，以通过 RDP 访问敏感的公司资源。

这种转变导致了许多错误和更多的 RDP 暴露。根据卡巴斯基的数据，全球 RDP 攻击从 2020 年 2 月的 9310 万次激增至 2020 年 3 月的 2.774 亿次，增幅达到惊人的 197%。尽管这一趋势在整个 2020 年上下波动，但在冬季封锁开始时又出现了一次大幅增长。

根据卡巴斯基的数据，到 2021 年 2 月，RDP 攻击已飙升至 3.775 亿次。这突显出与 2020 年初同一家公司报告的 9130 万次的巨大转变。根据卡巴斯基安全专家 Maria Namestnikova 的说法，匆忙实施和配置的远程桌面服务 (RDS)在推动 RDP 攻击方面发挥了重要作用。很多企业。

RDP 漏洞的类型

RDP 有很多已知的漏洞。以下是其中的一些。

中间人攻击

尽管 RDP 在默认模式下对客户端和服务器之间的数据进行加密，但它不提供验证机制来验证终端服务器的身份。恶意行为者可以发起中间人攻击来拦截客户端和服务器之间的连接，从而破坏过程中的通信。

加密攻击

RDP 支持两种加密形式：标准（也称为本机）加密和增强加密。使用标准加密，大多数 RDP 连接序列（握手）通过弱加密机制发生。恶意行为者可以在此阶段在合理的时间范围内解密连接并泄露企业的敏感资源。

拒绝服务攻击

RDP 提供两种类型的身份验证：网络级身份验证 (NLA)和非 NLA。支持 NLA 但未对其进行配置的服务器容易受到拒绝服务 (DOS) 攻击，因为客户端必须在服务器创建会话之前对其进行身份验证。黑客可以利用此漏洞创建与服务器的重复连接，从而阻止合法用户访问该服务。

键盘记录攻击

通过键盘记录攻击，黑客可以创建复杂的恶意软件，跟踪用户在访问 RDS 时在键盘上按下的所有键。与其他恶意软件不同，这些应用程序不会对 RDS 基础架构构成严重威胁。但是，键盘记录程序可能对用户构成严重威胁，尤其是当黑客拦截敏感密码和帐号时。

永恒之蓝攻击

EternalBlue 攻击允许黑客远程执行任意代码，使他们能够访问网络。这些攻击利用 Windows 操作系统服务器消息块 (SMB) 协议中的漏洞，允许恶意行为者破坏整个网络和连接的设备。

RDP 安全和加密级别

RDP 通信有三种类型的安全层：协商、RDP 安全层和 SSL。默认情况下，RDS 会话使用协商方法，其中客户端和远程桌面会话主机 (RDSH) 服务器就客户端支持的最安全协议达成一致。例如，如果客户端支持 TLS 1.0，则 RDS 基础架构会使用它。否则，RDS 基础架构将使用 RDP 安全层。

SSL 方法是迄今为止保护 RDS 会话的最可靠的方法。SSL 方法使用 TLS 1.0 协议来验证 RDSH 服务器的身份，并对客户端和服务器之间的所有连接进行加密。相比之下，RDP 安全层使用本地远程桌面协议加密机制来保护客户端和 RDSH 服务器之间的连接。由于 RDP 安全层不对 RDSH 服务器进行身份验证，因此容易受到攻击。

在加密方面，RDP 支持四个级别：

• 符合联邦信息处理标准 (FIPS)。此级别使用 FIPS 140-1 验证的加密方法来加密客户端和 RDSH 服务器之间的数据。客户端必须支持此级别的加密才能连接。
• 高的。它使用 128 位加密系统来加密客户端和 RDSH 服务器之间的数据，反之亦然。客户端必须支持此级别的加密才能连接。
• 客户端兼容。这是默认模式，使用客户端的最大密钥强度来加密客户端和服务器之间的数据。
• 低的。它使用 56 位加密系统对客户端和服务器之间的数据进行加密。但是，此级别不加密 RDSH 服务器和客户端之间的数据。

RDP 安全最佳实践

由于持续存在 RDP 风险，提供远程访问的公司必须采用RDP 最佳实践来保护其 IT 基础架构。让我们探索其中的一些。

• 始终使用 SSL 选项。TLS 1.0 提供比 RDP 安全层更强大的安全性。因此，您应始终确保在使用 RDS 时对其进行配置。
• 需要多重身份验证 (MFA)。MFA 是一种防止暴力破解和键盘记录攻击的强大方法。使用时，MFA 会创建分层防御，使黑客更难访问 RDS 基础架构。
• 执行强密码策略。始终为访问 RDS 基础架构的用户强制设置强密码。
• 在操作系统上启用自动更新。将客户端和 RDSH 服务器的操作系统更新到最新版本可以消除已知的 RDP 漏洞。
• 始终使用安全连接。默认情况下，RDS 在端口 3389 上运行。在此端口上运行 RDS 会使基础架构容易受到中间人攻击。您可以通过部署受 SSL 保护的连接来保护 RDS 基础架构。