RDP 有哪些安全風險?| RDP 漏洞

弱使用者驗證和連接埠定位是遠端桌面通訊協定 (RDP) 中存在的兩個主要漏洞。

學習目標

閱讀本文後,您將能夠:

  • 瞭解遠端桌面通訊協定 (RDP) 的風險
  • 瞭解如何防範這些漏洞
  • 瞭解 Cloudflare 的 RDP 安全解決方案

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 RDP?

RDP(遠端桌面通訊協定)是用於遠端桌面工作階段的主要通訊協定之一,遠端工作階段是指員工從其他裝置存取其辦公室桌上型電腦。大多數 Windows 作業系統隨附 RDP,Mac 也支援 RDP。許多公司依賴 RDP 來協助其員工實現居家辦公

RDP 有哪些主要的安全漏洞?

漏洞指的是某一軟體的構建存在缺陷或錯誤,使攻擊者可以未經授權而進行存取。這就像是房屋大門上門閂安裝不當導致犯罪分子闖入屋內。

以下是 RDP 中最重要的漏洞:

  1. 弱使用者登入認證。大多數桌上型電腦使用密碼進行保護,使用者常常會隨意設定這些密碼。問題在於,同樣的密碼常常也會用於 RDP 遠端登入。公司通常不管理這些密碼以確保其強度,常常讓這些遠端連線暴露於暴力認證填充攻擊。
  2. 不受限制的連接埠存取。RDP 連線幾乎總是在連接埠 3389*上進行。攻擊者可以假定這是正在使用的連接埠,並針對它進行中間人攻擊等。

*在網路中,連接埠是基於軟體的邏輯位置,指定用於某些類型的連線。將不同的處理序指派給不同的連接埠可協助電腦保持追蹤這些處理序。例如,HTTP 流量始終流向連接埠 80,而 HTTPS 流量流向連接埠 443。

有哪些方法可以解決這些 RDP 漏洞?

若要降低弱登入認證的普遍性,請執行以下操作:

單一登入 (SSO):許多公司已經在使用 SSO 服務來管理各種應用程式的使用者登入。SSO 為公司提供了一種更簡單的方法來強制使用強密碼,並實作更安全的措施,如雙重驗證 (2FA)。可以將 RDP 遠端存取移動到 SSO 後方,以防禦上述使用者登入漏洞。(例如,Cloudflare Zero Trust 允許公司這樣做。)

密碼管理和實施:對於某些公司來說,可能無法選擇將 RDP 移到 SSO 後方。至少,他們應該要求員工將桌面密碼重設為更強的密碼。

要防禦基於連接埠的攻擊,請執行以下操作:

鎖定連接埠 3389:安全通道軟體可以協助阻止攻擊者傳送到達連接埠 3389 的請求。使用安全通道(例如 Cloudflare Tunnel)後,所有未通過該通道的請求都將被封鎖。

防火牆規則:可以手動設定公司防火牆,以便只有來自允許清單內 IP 位址範圍(例如,已知屬於員工的裝置)的流量才能通過連接埠 3389。但是,此方法需要大量人工操作。如果攻擊者劫持了列入允許清單的 IP 位址或員工裝置遭入侵,仍然容易受到攻擊。此外,通常很難預先識別所有員工裝置並將其列入允許清單,從而導致被封鎖的員工會不斷提出 IT 請求。

RDP 還有哪些其他漏洞?

RDP 還有一些在技術上已得到修補的其他漏洞,若不加以檢查,這些漏洞仍然很嚴重。

RDP 中最嚴重的漏洞之一稱為「BlueKeep」。BlueKeep(官方分類為 CVE-2019-0708)是一個漏洞,如果攻擊者向正確的連接埠(通常為 3389)傳送特製請求,則攻擊者能夠利用此漏洞在電腦上執行他們想要的任何程式碼。BlueKeep 具有蠕蟲性質,這意味著使用者無需採取任何動作,它就可以傳播到網路中的所有電腦。

針對此漏洞的最佳防禦措施是在非必要情況下停用 RDP。使用防火牆封鎖連接埠 3389 也有所幫助。Microsoft 最終於 2019 年發布了一個修補程式來糾正此漏洞,系統管理員務必安裝這個修補程式。

像任何其他程式或通訊協定一樣,RDP 也具有其他幾個漏洞,大多可透過始終使用通訊協定的最新版本來消除。廠商通常會在他們發布的每個新版本軟體中修補漏洞。

Cloudflare 如何幫助保護遠端存取?

Cloudflare Zero TrustCloudflare Tunnel 透過聯手消除 RDP 中的上述兩個主要漏洞來增強遠端存取安全性。使用 Cloudflare 的一個優點是,與典型的企業防火牆不同,它不是基於硬體的,不需要手動設定。使用 Argo Tunnel 保護 RDP 連線通常很簡單,只需在 Cloudflare 儀表板中按幾下即可。要瞭解有關 Cloudflare 和 RDP 的更多資訊,請閱讀我們的部落格文章觀看此示範