怎样保护RDP不受勒索软件攻击

发布时间:2021-12-23 10:57:06 作者:柒染
来源:亿速云 阅读:354

本篇文章给大家分享的是有关怎样保护RDP不受勒索软件攻击,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

0x00 成文背景

疫情肆虐的这几个月,为了保持社交距离,很多企业都依赖RDP来保证公司业务的不间断运行。

RDP(Remote Desktop Protocol)是微软公司开发的一种网络通信协议,它为大多数Windows操作系统提供了一个图形界面,使用户能够远程连接到服务器或另一台计算机。RDP将远程服务器的显示传输到客户机,并将外设(如键盘和鼠标)的输入从客户机传输到远程服务器,有效地允许用户控制远程计算机,就像他们亲自操作它一样。

然而,很多企业并没有足够的时间和资源来安全地配置RDP,仓促的转为远程办公,可能正在为勒索软件集团提供攻击的机会。

根据McAfee的一份报告,暴露在互联网上的RDP端口数量从2020年1月份的300万个增加激增到今年3月的450万个。

下面,我从三个方面谈谈如何保护RDP不受勒索软件的攻击,希望达到抛砖引玉的作用。

0x01 攻击者如何使用RDP部署恶意软件

在专用网络中使用RDP通常被认为是一个安全可靠的工具。然而,当RDP端口对Internet开放时,可能会出现严重的问题,因为它允许任何人尝试连接到远程服务器。如果连接成功,攻击者将获得访问服务器的权限,并可以在被黑帐户的权限内做任何事情。

利用RDP部署恶意软件并不是一个新的威胁,只是在疫情促使远程办公迅速发展的同时,加剧了这一安全风险。

根据卡巴斯基的一份报告,2020年3月初,美国每天约有20万次RDP的暴力袭击,到4月中旬,这一数字激增至近130万。如今,RDP被认为是勒索软件最大的单一攻击载体。

RDP可以通过多种方式加以利用,主要有以下四种方式:

  1. 扫描暴露的RDP端口:攻击者使用免费的、简单易用的端口扫描工具,如Shodan,来扫描整个Internet以获取暴露的RDP端口。

  2. 尝试登录:攻击者通过暴力破解用户名和密码,地下市场购买肉鸡,或者有针对的采用社会工程的方式登录。

  3. 破坏系统安全性:一旦攻击者完成提权,他们就会集中精力使网络尽可能不安全。如禁用防病毒软件、删除备份和更改通常被锁定的配置设置、修改日志等。

  4. 威胁后利用:接触系统安全性后,便可以部署勒索软件、部署键盘记录器、使用肉鸡分发垃圾邮件、窃取敏感数据,或者安装后门等等,用于以后的攻击。

0x02 如何防范基于RDP的攻击

2020年7月,Emisoft我们提出了一个新的安全策略来帮助保护用户免受RDP的攻击,即云监控RDP。

通过安全对应的安防系统,实时监控家庭或企业用户的RDP服务状态,管理员可以一目了然的查看特定设备上是否启用了RDP。如果检测到多次失败的登录尝试,Emsisoft云控制台会向管理员触发警报,管理员可以决定是否在受影响的设备上禁用RDP。

这种简单有效的安全策略,相信不久,也会在国内大多数安防软件上实现。

0x03 确保RDP安全的8种常见做法

首先第一点,除非必要,否则应该始终禁用RDP。

对于特别需要使用RDP的企业,以下是工作中防止RDP被暴力攻击的几种方法。

1.使用VPN

如前所述,当RDP对Internet开放时会产生严重的安全风险。相反,组织应该使用VPN来允许远程用户安全地访问公司网络,而不将他们的系统暴露给整个Internet。

2.设置强密码

大多数基于RDP的攻击依赖于暴力破解。因此,企业必须在所有RDP客户端和服务器终端上强制使用强密码,密码长、唯一、随机。

3.使用多种认证

即使是最强大的密码也可能被泄露。这时,MFA(Multi-Factor Authentication)提供了另外一层保护。启用 MFA 后,用户登录RDP,系统要求输入用户名和密码,然后要求输入来自其 MFA 设备的动态验证码,MFA 设备可以基于硬件也可以基于软件。

4.使用防火墙来限制访问

可以使用防火墙来限制RDP对特定IP地址或IP地址范围的访问。

5.使用RD网关

Windows server 2008以后的版本,都可以使用RD网关服务器,它使用端口 443,可通过安全套接字层 (SSL) 隧道传输数据。

6.封IP

短时间内多次的登录尝试失败,通常表明正在进行暴力攻击。Windows帐户策略可用于定义和限制用户尝试登录到RDP的次数。

7.合理分配远程访问权限

虽然所有管理员在默认情况下都可以使用RDP,但许多用户不需要远程访问也能完成他们的工作。企业应该始终遵循“最小特权”的原则,将RDP访问权分配给真正需要的人。

8.更改RDP监听端口

攻击者通常通过扫描Internet以确定监听默认RDP端口(TCP 3389)的计算机来识别潜在目标。虽然通过Windows注册表更改监听端口可以帮助企业“隐藏”脆弱的连接,但种方法只是一种规避策略,并不具备防护性,应该算作一种补充技术吧。

以上就是怎样保护RDP不受勒索软件攻击,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。

推荐阅读:
  1. 勒索软件解密网址
  2. 最新勒索软件病毒防范方法及措施

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

rdp

上一篇:怎样使用NFCGate对Android进行NFC安全研究

下一篇:mysql中出现1053错误怎么办

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》