RDP 有哪些安全风险?| RDP 漏洞

弱用户身份验证和端口定位是远程桌面协议(RDP)中存在的两个主要漏洞。

学习目标

阅读本文后,您将能够:

  • 了解远程桌面协议(RDP)的风险
  • 了解如何防范这些漏洞
  • 了解 Cloudflare 的 RDP 安全解决方案

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 RDP?

RDP 或远程桌面协议是用于远程桌面会话的主要协议之一,远程会话是员工从其他设备访问其办公室台式计算机时使用的协议。大多数 Windows 操作系统随附 RDP,Mac 也支持 RDP。许多公司依托 RDP 来协助其员工实现居家办公

常见的 Web 应用程序安全漏洞有哪些?

漏洞指的是某一软件的构建存在缺陷或错误,使攻击者可以未经授权而进行访问。这就像是房屋大门上门闩安装不当导致犯罪分子闯入屋内。

下面列出了 RDP 中最重要的漏洞:

  1. 用户登录凭证羸弱。大多数台式计算机使用密码进行保护,用户常常会随意设置这些密码。问题在于,同样的密码常常也会用于 RDP 远程登录。公司通常不管理这些密码以确保其强度,常常让这些远程连接暴露于暴力凭证填充攻击。
  2. 端口访问不设限制。RDP 连接几乎总是在端口 3389*。攻击者可以假定这是使用中的端口,并将其作为目标来进行在途攻击

*在网络中,端口指的是为某些类型的连接指定的基于软件的逻辑位置。将不同的进程分配到不同的端口有助于计算机跟踪这些进程。例如,HTTP 流量始终流向端口 80,而 HTTPS 流量始终流向端口 443。

有哪些方式可以解决这些 RDP 漏洞?

减少弱登录凭据的普遍性:

单点登录 (SSO):许多企业已使用 SSO 服务来管理各种应用程序的用户登录。SSO 为企业提供了一种更简单的方法来强制使用强密码,以及实施双因素身份验证 (2FA) 等更加安全的措施。可将 RDP 远程访问移到 SSO 后面,来修复上述用户登录漏洞。例如,Cloudflare Zero Trust 可协助企业实现这个目标。

密码管理和实施:对于某些公司,将 RDP 移到 SSO 后面可能不是一种选择。但在最低程度上,他们应要求员工将其台式机密码重置为更强的密码。

防范基于端口的攻击:

锁定端口 3389:安全隧道软件有助于阻止攻击者发送到达端口 3389 的请求。使用安全隧道(例如Cloudflare Tunnel)后,将会拦截所有未通过隧道的请求。

防火墙规则:可以手动配置公司防火墙,以便只有来自列入白名单的IP 地址范围(例如,已知属于员工的设备)的流量才能通过端口 3389。但是,此方法需要大量人工操作。如果攻击者劫持了列入白名单的 IP 地址或员工设备被盗用,仍然容易受到攻击。此外,通常很难预先识别所有员工设备并将其列入允许名单,因而被阻止的员工会不断提出 IT 请求。

RDP 还有哪些其他漏洞?

RDP 还有其他在技术上已得到修补的漏洞,但若不加以检查,这些漏洞仍然很严重。

RDP 中最严重的一个漏洞称为“BlueKeep”。BlueKeep(官方分类为CVE-2019-0708)是这样一个漏洞,如果攻击者向特定端口(通常为 3389)发送经特殊设计的请求,则攻击者可以在计算机上执行所需的任何代码。BlueKeep 具有蠕虫性质,这意味着它可以传播到网络中的所有计算机,无需用户采取任何行动。

最好的防御方法是禁用 RDP,除非有必要时。利用防火墙屏蔽端口 3389 也有帮助。微软最终于 2019 年发布了一个补丁程序来纠正此漏洞,系统管理员务必安装这个补丁程序。

像任何其他程序或协议一样,RDP 也具有其他几个漏洞,大多可通过始终使用协议的最新版本来消除。供应商通常会在他们发布的每个新版本软件中修补漏洞。

Cloudflare 如何帮助保护远程访问?

Cloudflare Zero TrustCloudflare Tunnel 通过联合消除上述两个主要 RDP 漏洞来增强远程访问的安全性。使用 Cloudflare 的一个优势在于,它与典型的企业防火墙不同,它不是以硬件为基础,也无需手动配置。使用 Argo Tunnel 保护 RDP 连接的操作通常很简单,只需在 Cloudflare 仪表板中点击几下即可。如需了解 Cloudflare 和 RDP 的更多信息,请阅读博客文章观看演示