如何保護(hù)遠(yuǎn)程桌面協(xié)議（RDP）網(wǎng)絡(luò)端點安全？

• 在外圍網(wǎng)絡(luò)或者操作系統(tǒng)使用防火墻來過濾入站請求，只允許經(jīng)批準(zhǔn)的來源和目的地通過RDP連接，可以限制能夠連接到這些服務(wù)器的用戶。如果某個特定群體的人只能連接到特定服務(wù)器組，圍繞這些請求來修改防火墻規(guī)則將有助于控制訪問權(quán)限。

• 確定誰能夠建立到服務(wù)器的RDP連接?？紤]將RDP訪問限制到特定群體(通過組策略或者對目標(biāo)計算機(jī)手動操作)，而不是對所有人開放，限制訪問權(quán)限。同時，我們建議將本地管理員賬戶從RDP訪問刪除，所有用戶的賬戶都應(yīng)該提前在系統(tǒng)中進(jìn)行明確定義。

• 雖然NLA可以當(dāng)做某種形式的身份驗證，使用SSL證書來驗證到主機(jī)系統(tǒng)的客戶端請求是用于RDP最好的驗證方法。將證書安裝在系統(tǒng)和RDP客戶端上，只有證書通過驗證，才可以建立RDP會話。

• 確保所有運行RDP的系統(tǒng)都安裝了最新的修復(fù)補丁，特別是在最近導(dǎo)致微軟發(fā)出安全公告MS12-020的事件之后。

• 最后，使用GPO來強制執(zhí)行密碼政策，要求在域中使用一定長度的密碼，并設(shè)置鎖定政策以防止攻擊者暴力破解入侵服務(wù)器。

抵御惡意使用RDP

上述方法可以幫助企業(yè)保護(hù)在企業(yè)中使用RDP?，F(xiàn)在，讓我們看看企業(yè)應(yīng)該如何驗證RDP有沒有被使用，以保護(hù)企業(yè)免受RDP惡意使用或者未經(jīng)授權(quán)的安裝。

• 在網(wǎng)絡(luò)內(nèi)部和外部運行漏洞或端口掃描，可以幫助確認(rèn)是否有任何系統(tǒng)在監(jiān)聽RDP連接。在內(nèi)部運行這種掃描，可以確認(rèn)哪些系統(tǒng)在運行RDP，然后由企業(yè)的團(tuán)隊來確實他們是否應(yīng)該運行這些軟件。從外部網(wǎng)絡(luò)的角度來看，如果掃描結(jié)果顯示RDP監(jiān)聽來自外部，IT團(tuán)隊必須盡快采取行動。很多漏洞掃描器發(fā)現(xiàn)RDP在非標(biāo)準(zhǔn)端口運行，這可以幫助企業(yè)找出試圖偷偷RDP安裝的人。

• 使用日志記錄或者安全事故和事件管理(SIEM)系統(tǒng)來確定哪些設(shè)備正在監(jiān)聽和接收RDP會話，這可以讓你了解網(wǎng)絡(luò)中正在發(fā)生何種類型的RDP連接。某些系統(tǒng)是否出現(xiàn)多次失敗登錄?其他系統(tǒng)是否在接受不應(yīng)該接受的連接?

• 最后，確保系統(tǒng)沒有不恰當(dāng)使用RDP的最好方法是：定義一個組策略，只允許經(jīng)批準(zhǔn)的系統(tǒng)來運行RDP。

總而言之，RDP是一個偉大的工具，管理員和用戶可以從一個中央位置使用RDP來建立對系統(tǒng)的多個連接。管理員還可以將RDP用于遠(yuǎn)程系統(tǒng)管理，但是和其他系統(tǒng)一樣，如果連接和軟件不安全的話，企業(yè)可能面臨風(fēng)險。了解RDP如何運作，為什么要使用RDP以及如何保護(hù)RDP安全，能夠幫助管理員更好地保護(hù)其系統(tǒng)。