遠程桌面協議 (RDP) 是 Microsoft 開發的一種便于遠程訪問的安全網絡協議。該協議為遠程桌面連接提供三種安全通信：RDP 安全層、協商和安全套接字層 (SSL)。

RDP 安全層使用本機加密機制來保護客戶端和服務器之間的連接，而協商方法則選擇客戶端支持的最安全的層。相反，如果客戶端具有有效證書并支持 TLS 1.0，則 SSL 使用傳輸層安全版本 1.0 (TLS 1.0) 對服務器進行身份驗證。

RDP 漏洞是網絡犯罪的熱門目標

對于在冠狀病毒大流行之后需要緊急將員工從內部部署到混合工作環境的組織來說，RDP 成為一種流行的選擇。根據Business Fortune Insights的數據，2019 年全球遠程桌面軟件市場規模為 15.3 億美元。該公司預計該市場份額將以 15.1% 的復合年增長率 (CAGR) 增長，到 2027 年將達到 46.9 億美元。

RDP 的流行使其成為網絡犯罪分子的目標。在大流行之前，大多數員工在辦公室工作并使用 IT 管理員密切監控的資源。向遠程工作的轉變意味著企業必須允許員工在自帶設備 (BYOD)框架下使用他們喜歡的設備，以通過 RDP 訪問敏感的公司資源。

這種轉變導致了許多錯誤和更多的 RDP 暴露。根據卡巴斯基的數據，全球 RDP 攻擊從 2020 年 2 月的 9310 萬次激增至 2020 年 3 月的 2.774 億次，增幅達到驚人的 197%。盡管這一趨勢在整個 2020 年上下波動，但在冬季封鎖開始時又出現了一次大幅增長。

根據卡巴斯基的數據，到 2021 年 2 月，RDP 攻擊已飆升至 3.775 億次。這突顯出與 2020 年初同一家公司報告的 9130 萬次的巨大轉變。根據卡巴斯基安全專家 Maria Namestnikova 的說法，匆忙實施和配置的遠程桌面服務 (RDS)在推動 RDP 攻擊方面發揮了重要作用。很多企業。

RDP 漏洞的類型

RDP 有很多已知的漏洞。以下是其中的一些。

中間人攻擊

盡管 RDP 在默認模式下對客戶端和服務器之間的數據進行加密，但它不提供驗證機制來驗證終端服務器的身份。惡意行為者可以發起中間人攻擊來攔截客戶端和服務器之間的連接，從而破壞過程中的通信。

加密攻擊

RDP 支持兩種加密形式：標準（也稱為本機）加密和增強加密。使用標準加密，大多數 RDP 連接序列（握手）通過弱加密機制發生。惡意行為者可以在此階段在合理的時間范圍內解密連接并泄露企業的敏感資源。

拒絕服務攻擊

RDP 提供兩種類型的身份驗證：網絡級身份驗證 (NLA)和非 NLA。支持 NLA 但未對其進行配置的服務器容易受到拒絕服務 (DOS) 攻擊，因為客戶端必須在服務器創建會話之前對其進行身份驗證。黑客可以利用此漏洞創建與服務器的重復連接，從而阻止合法用戶訪問該服務。

鍵盤記錄攻擊

通過鍵盤記錄攻擊，黑客可以創建復雜的惡意軟件，跟蹤用戶在訪問 RDS 時在鍵盤上按下的所有鍵。與其他惡意軟件不同，這些應用程序不會對 RDS 基礎架構構成嚴重威脅。但是，鍵盤記錄程序可能對用戶構成嚴重威脅，尤其是當黑客攔截敏感密碼和帳號時。

永恒之藍攻擊

EternalBlue 攻擊允許黑客遠程執行任意代碼，使他們能夠訪問網絡。這些攻擊利用 Windows 操作系統服務器消息塊 (SMB) 協議中的漏洞，允許惡意行為者破壞整個網絡和連接的設備。

RDP 安全和加密級別

RDP 通信有三種類型的安全層：協商、RDP 安全層和 SSL。默認情況下，RDS 會話使用協商方法，其中客戶端和遠程桌面會話主機 (RDSH) 服務器就客戶端支持的最安全協議達成一致。例如，如果客戶端支持 TLS 1.0，則 RDS 基礎架構會使用它。否則，RDS 基礎架構將使用 RDP 安全層。

SSL 方法是迄今為止保護 RDS 會話的最可靠的方法。SSL 方法使用 TLS 1.0 協議來驗證 RDSH 服務器的身份，并對客戶端和服務器之間的所有連接進行加密。相比之下，RDP 安全層使用本地遠程桌面協議加密機制來保護客戶端和 RDSH 服務器之間的連接。由于 RDP 安全層不對 RDSH 服務器進行身份驗證，因此容易受到攻擊。

在加密方面，RDP 支持四個級別：

• 符合聯邦信息處理標準 (FIPS)。此級別使用 FIPS 140-1 驗證的加密方法來加密客戶端和 RDSH 服務器之間的數據。客戶端必須支持此級別的加密才能連接。
• 高的。它使用 128 位加密系統來加密客戶端和 RDSH 服務器之間的數據，反之亦然。客戶端必須支持此級別的加密才能連接。
• 客戶端兼容。這是默認模式，使用客戶端的最大密鑰強度來加密客戶端和服務器之間的數據。
• 低的。它使用 56 位加密系統對客戶端和服務器之間的數據進行加密。但是，此級別不加密 RDSH 服務器和客戶端之間的數據。

RDP 安全最佳實踐

由于持續存在 RDP 風險，提供遠程訪問的公司必須采用RDP 最佳實踐來保護其 IT 基礎架構。讓我們探索其中的一些。

• 始終使用 SSL 選項。TLS 1.0 提供比 RDP 安全層更強大的安全性。因此，您應始終確保在使用 RDS 時對其進行配置。
• 需要多重身份驗證 (MFA)。MFA 是一種防止暴力破解和鍵盤記錄攻擊的強大方法。使用時，MFA 會創建分層防御，使黑客更難訪問 RDS 基礎架構。
• 執行強密碼策略。始終為訪問 RDS 基礎架構的用戶強制設置強密碼。
• 在操作系統上啟用自動更新。將客戶端和 RDSH 服務器的操作系統更新到最新版本可以消除已知的 RDP 漏洞。
• 始終使用安全連接。默認情況下，RDS 在端口 3389 上運行。在此端口上運行 RDS 會使基礎架構容易受到中間人攻擊。您可以通過部署受 SSL 保護的連接來保護 RDS 基礎架構。