RDP 有哪些安全風險?| RDP 漏洞

弱使用者驗證和連接埠定位是遠端桌面通訊協定 (RDP) 中存在的兩個主要漏洞。

學習目標

閱讀本文後,您將能夠:

  • 瞭解遠端桌面通訊協定 (RDP) 的風險
  • 瞭解如何防範這些漏洞
  • 瞭解 Cloudflare 的 RDP 安全解決方案

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 RDP?

RDP(遠端桌面通訊協定)是用於遠端桌面工作階段的主要通訊協定之一,遠端工作階段是指員工從其他裝置存取其辦公室桌上型電腦。大多數 Windows 作業系統隨附 RDP,Mac 也支援 RDP。許多公司依賴 RDP 來協助其員工實現居家辦公

RDP 有哪些主要的安全漏洞?

漏洞指的是某一軟體的構建存在缺陷或錯誤,使攻擊者可以未經授權而進行存取。這就像是房屋大門上門閂安裝不當導致犯罪分子闖入屋內。

以下是 RDP 中最重要的漏洞:

  1. 弱使用者登入認證。大多數桌上型電腦使用密碼進行保護,使用者常常會隨意設定這些密碼。問題在於,同樣的密碼常常也會用於 RDP 遠端登入。公司通常不管理這些密碼以確保其強度,常常讓這些遠端連線暴露於暴力認證填充攻擊。
  2. 不受限制的連接埠存取。RDP 連線幾乎總是在連接埠 3389*上進行。攻擊者可以假定這是正在使用的連接埠,並針對它進行中間人攻擊等。

*在網路中,連接埠是基於軟體的邏輯位置,指定用於某些類型的連線。將不同的處理序指派給不同的連接埠可協助電腦保持追蹤這些處理序。例如,HTTP 流量始終流向連接埠 80,而 HTTPS 流量流向連接埠 443。

有哪些方法可以解決這些 RDP 漏洞?

若要降低弱登入認證的普遍性,請執行以下操作:

單一登入 (SSO):許多公司已經在使用 SSO 服務來管理各種應用程式的使用者登入。SSO 為公司提供了一種更簡單的方法來強制使用強密碼,並實作更安全的措施,如雙重驗證 (2FA)。可以將 RDP 遠端存取移動到 SSO 後方,以防禦上述使用者登入漏洞。(例如,Cloudflare Zero Trust 允許公司這樣做。)

密碼管理和實施:對於某些公司來說,可能無法選擇將 RDP 移到 SSO 後方。至少,他們應該要求員工將桌面密碼重設為更強的密碼。

要防禦基於連接埠的攻擊,請執行以下操作:

鎖定連接埠 3389:安全通道軟體可以協助阻止攻擊者傳送到達連接埠 3389 的請求。使用安全通道(例如 Cloudflare Tunnel)後,所有未通過該通道的請求都將被封鎖。

防火牆規則:可以手動設定公司防火牆,以便只有來自允許清單內 IP 位址範圍(例如,已知屬於員工的裝置)的流量才能通過連接埠 3389。但是,此方法需要大量人工操作。如果攻擊者劫持了列入允許清單的 IP 位址或員工裝置遭入侵,仍然容易受到攻擊。此外,通常很難預先識別所有員工裝置並將其列入允許清單,從而導致被封鎖的員工會不斷提出 IT 請求。

RDP 還有哪些其他漏洞?

RDP 還有一些在技術上已得到修補的其他漏洞,若不加以檢查,這些漏洞仍然很嚴重。

RDP 中最嚴重的漏洞之一稱為「BlueKeep」。BlueKeep(官方分類為 CVE-2019-0708)是一個漏洞,如果攻擊者向正確的連接埠(通常為 3389)傳送特製請求,則攻擊者能夠利用此漏洞在電腦上執行他們想要的任何程式碼。BlueKeep 具有蠕蟲性質,這意味著使用者無需採取任何動作,它就可以傳播到網路中的所有電腦。

針對此漏洞的最佳防禦措施是在非必要情況下停用 RDP。使用防火牆封鎖連接埠 3389 也有所幫助。Microsoft 最終於 2019 年發布了一個修補程式來糾正此漏洞,系統管理員務必安裝這個修補程式。

像任何其他程式或通訊協定一樣,RDP 也具有其他幾個漏洞,大多可透過始終使用通訊協定的最新版本來消除。廠商通常會在他們發布的每個新版本軟體中修補漏洞。

Cloudflare 如何幫助保護 RDP 存取?

為了簡化和保護 RDP 存取,Cloudflare 建置了一個快速執行的 RDP 代理,其中整合了我們 SASE 平台的 Zero Trust 安全控制。Cloudflare現在提供基於瀏覽器的無用戶端 RDP 存取:不需要其他基礎架構,也無需在用戶端裝置上進行額外的設定。深入瞭解 Cloudflare 的 SASE 平台和 RDP 存取

常見問題集

什麼是遠端桌面通訊協定 (RDP)?

RDP 是一種常見的技術標準,可讓使用者從不同地點操作電腦。企業經常使用這項通訊協定來協助員工在家工作時存取辦公室的電腦。

與 RDP 相關的主要安全漏洞有哪些?

最重要的兩項風險是登入認證強度不足以及對連接埠 3389 的存取不受限制。由於許多組織未透過集中式系統管理 RDP 密碼,使用者常使用簡單或重複使用的密碼,這類密碼容易讓攻擊者猜中。此外,由於 RDP 使用連接埠 3389,攻擊者可鎖定此特定連接埠發動攻擊或未經授權入侵。

BlueKeep 漏洞是什麼?

BlueKeep 是一個重大安全漏洞,官方編號為 CVE-2019-0708,允許攻擊者透過向目標電腦的 RDP 連接埠傳送特定類型的請求,來執行未經授權的程式碼。此漏洞具有「蠕蟲特性」,意指它可以在不需要使用者任何操作的情況下,自動在整個網路上擴散至其他電腦。

單一登入 (SSO) 如何協助保護遠端桌面工作階段?

將 RDP 與 SSO 服務整合,能讓組織將遠端存取移入更安全的登入流程中。這使公司能夠強制執行更嚴格的密碼要求,並實施額外的安全層(例如雙重驗證 (2FA)),以更有效地驗證使用者身分。

組織如何保護連接埠 3389 免受攻擊者入侵?

組織可以透過使用安全通道軟體來保護此連接埠,封鎖任何未經指定安全路徑傳送的請求。另一種選擇是設定防火牆規則,僅允許來自特定、受信任 IP 位址的流量,但對於大型團隊而言,這種方法可能難以手動管理。

Cloudflare 如何協助保護 RDP 連線?

Cloudflare 提供快速的 RDP 代理,為每次連線套用 Zero Trust 安全控制。透過使用 Cloudflare Access 和安全通道等工具,公司可以將其 RDP 資源對公開網際網路隱藏,並確保只有經過驗證且具備正確權限的使用者才能進入。