RDP的安全風險

什麼是 RDP？

RDP（即遠端桌面協定）是用於遠端桌面會話的主要協定之一。這時員工從另一台設備存取他們的辦公室桌面。 RDP 包含在大多數 Windows 作業系統中，也可用於 Mac。許多公司依賴 RDP 來讓員工在家工作。

RDP（遠端桌面協定）是遠端桌面會話的主要協定之一

RDP 主要安全漏洞有哪些？

漏洞是軟體建構方式中的錯誤，允許攻擊者獲得未經授權的存取。可以將其視為房屋前門上安裝不當的鎖舌，從而使犯罪分子得以進入。

這些是 RDP 中最重要的漏洞：

1. 用戶憑證薄弱

大多數桌上型電腦都受密碼保護，使用者通常可以將其設定為他們想要的任何內容。問題是使用者經常使用相同的密碼進行 RDP 遠端登入。公司通常不會管理這些密碼來確保其強度，並且經常讓這些遠端連線容易受到暴力破解或憑證填充攻擊。

• 如何最安全地建立強密碼和管理密碼的摘要

2. 連接埠存取不受限制

RDP 連線幾乎總是在連接埠 3389* 上進行。攻擊者可能會假設這是正在使用的連接埠並以此為目標進行攻擊。

* 在網路中，網關是指派給某些類型的連線的軟體為基礎的邏輯位置。將不同的進程分配給不同的連接埠有助於電腦追蹤這些進程。例如，HTTP 流量始終流向連接埠 80，而HTTPS流量始終流向連接埠 443。

有哪些方法可以解決這些 RDP 漏洞？

• 為了減少弱憑據的普及：

單一登入 (SSO)

許多公司已使用 SSO 服務來管理各種應用程式的使用者登入資訊。 SSO 為公司提供了一種更簡單的方法來強制使用強密碼，並實施更安全的措施，例如雙重認證 (2FA)。 RDP 遠端存取可以移至 SSO 流程後面，以解決上述使用者登入漏洞。

密碼管理和執行

對於某些公司來說，將 RDP 遠端存取移至 SSO 流程後面可能不是一個選項。至少，這些公司應該要求員工將桌面密碼重設為更強的密碼。

• 為了防止基於連接埠的攻擊：

鎖定連接埠3389

安全隧道軟體可以幫助防止攻擊者向連接埠 3389 發送請求。透過安全隧道，任何不通過隧道的請求都將被阻止。

防火牆規則

可以手動設定企業防火牆，使連接埠 3389 上的流量無法通過，但來自允許的IP 位址範圍（例如已知屬於員工的設備）的流量除外。

然而，這種方法需要大量的手動工作，如果攻擊者劫持授權的 IP 位址或員工設備受到威脅，則仍然容易受到攻擊。此外，通常很難事先識別並啟用所有員工設備，導致被封鎖的員工不斷發出 IT 請求。

RDP 還存在許多其他漏洞，其中大多數漏洞可以透過始終使用該協定的最新版本來消除。

RDP 還有哪些漏洞？

RDP 還存在其他技術漏洞，這些漏洞已透過技術修補，但如果不加以控制，仍然很嚴重。

RDP 中最嚴重的漏洞之一稱為「BlueKeep」。 BlueKeep（官方分類為 CVE-2019-0708）是一個漏洞，如果攻擊者向正確的連接埠（通常是 3389）發送特製請求，則攻擊者可以在電腦上執行他們想要的任何程式碼。 BlueKeep是可蠕蟲的，這意味著它可以傳播到網路中的所有計算機，而無需用戶執行任何操作。

針對此漏洞的最佳保護是停用 RDP（除非需要）。使用防火牆封鎖連接埠 3389 也可能有所幫助。最後，微軟在2019年發布了修復此漏洞的補丁，系統管理員安裝此補丁至關重要。

與任何其他程式或協定一樣，RDP 也存在一些其他漏洞，大多數漏洞可以透過始終使用該協定的最新版本來消除。供應商經常修補他們發布的每個新軟體版本中的漏洞。