什么是 RDP?
RDP 或远程桌面协议是用于远程桌面会话的主要协议之一,远程会话是员工从其他设备访问其办公室台式计算机时使用的协议。大多数 Windows 操作系统随附 RDP,Mac 也支持 RDP。许多公司依托 RDP 来协助其员工实现居家办公。
常见的 Web 应用程序安全漏洞有哪些?
漏洞指的是某一软件的构建存在缺陷或错误,使攻击者可以未经授权而进行访问。这就像是房屋大门上门闩安装不当导致犯罪分子闯入屋内。
下面列出了 RDP 中最重要的漏洞:
用户登录凭证羸弱。大多数台式计算机使用密码进行保护,用户常常会随意设置这些密码。问题在于,同样的密码常常也会用于 RDP 远程登录。公司通常不管理这些密码以确保其强度,常常让这些远程连接暴露于暴力或凭证填充攻击。
Unrestricted port access. RDP connections almost always take place at port 3389*. Attackers can assume that this is the port in use and target it to carry out on-path attacks, among others.
*在网络中,端口指的是为某些类型的连接指定的基于软件的逻辑位置。将不同的进程分配到不同的端口有助于计算机跟踪这些进程。例如,HTTP 流量始终流向端口 80,而 HTTPS 流量始终流向端口 443。
有哪些方式可以解决这些 RDP 漏洞?
减少弱登录凭据的普遍性:
单点登录(SSO):许多公司已在使用 SSO 服务来管理各种应用程序的用户登录。SSO 为公司提供了一种更简单的方法来强制使用强密码,并且实施双因素身份验证(2FA)等更加安全的措施。可以将 RDP 远程访问移到 SSO 后面,以防御上述用户登录漏洞。(例如,Cloudflare Access 可协助公司实现这个目标。)
密码管理和实施:对于某些公司,将 RDP 移到 SSO 后面可能不是一种选择。但在最低程度上,他们应要求员工将其台式机密码重置为更强的密码。
防范基于端口的攻击:
锁定端口 3389:安全隧道软件可以帮助阻止攻击者发送到达端口 3389 的请求。使用安全隧道(例如Cloudflare Argo Tunnel)后,所有未通过隧道的请求都将被阻止。
Firewall rules: It may be possible to manually configure a corporate firewall so that no traffic to port 3389 can come through, except traffic from allowlisted IP address ranges (e.g. the devices known to belong to employees). However, this method takes a lot of manual effort, and is still vulnerable to attack if attackers hijack an allowlisted IP address or employee devices are compromised. In addition, it is typically very difficult to identify and allowlist all employee devices in advance, resulting in continual IT requests from blocked employees.
RDP 还有哪些其他漏洞?
RDP 还有其他在技术上已得到修补的漏洞,但若不加以检查,这些漏洞仍然很严重。
RDP 中最严重的一个漏洞称为“BlueKeep”。BlueKeep(官方分类为CVE-2019-0708)是这样一个漏洞,如果攻击者向特定端口(通常为 3389)发送经特殊设计的请求,则攻击者可以在计算机上执行所需的任何代码。BlueKeep 具有蠕虫性质,这意味着它可以传播到网络中的所有计算机,无需用户采取任何行动。
最好的防御方法是禁用 RDP,除非有必要时。利用防火墙屏蔽端口 3389 也有帮助。微软最终于 2019 年发布了一个补丁程序来纠正此漏洞,系统管理员务必安装这个补丁程序。
像任何其他程序或协议一样,RDP 也具有其他几个漏洞,大多可通过始终使用协议的最新版本来消除。供应商通常会在他们发布的每个新版本软件中修补漏洞。
Cloudflare 如何帮助保护远程访问?
Cloudflare 提供了多个解决方案来支持远程工作团队。Cloudflare Access 和 Cloudflare Argo Tunnel 联手消除了上述两个主要的 RDP 漏洞。使用 Cloudflare 有一个优势,它与典型的公司防火墙不同,不基于硬件,也不需要手动配置。使用 Argo Tunnel 保护 RDP 连接通常很简单,只需在 Cloudflare 仪表板中点击几下便可。若要进一步了解 Cloudflare 和 RDP,请阅读博客文章或观看演示。