遠程桌面協議：它是什么？如何保護它？

最近遠程桌面協議（RDP）中發現的漏洞讓大家將目光都聚焦在它身上。知名網絡安全專家Dan Kaminsky近日表示，RDP目前正用于500多萬個互聯網端點中，可以想象，如果企業沒有妥善保護RDP，網絡和端點安全將受到嚴重威脅。

在這篇文章中，我們將簡要地探討什么是RDP，為什么我們需要RDP以及它用于企業端點的最常見方式。然后，我們將探討企業如何確保RDP的安全使用，或者在適當的時候，如何確保它沒有被使用。

什么是RDP？

遠程桌面協議是微軟公司創建的專有協議。它允許系統用戶通過圖形用戶界面連接到遠程系統。在默認情況下，該協議的客戶端代理內置在微軟的操作系統中，但也可以安裝在非微軟操作系統中，例如蘋果的操作系統、不同版本的Linux，甚至還可以安裝在移動操作系統中，例如Android。

RDP的服務器端安裝在微軟操作系統上，從客戶端代理接收請求，顯示發布應用程序的圖，或者遠程訪問系統本身。在默認情況下，系統在端口3389來監聽來自客戶端的通過RDP的連接請求。

RDP在企業的最常用方式？

通常情況下，RDP或者終端服務會話被配置在需要分布式客戶端機器來連接的服務器上。它可以用于管理、遠程訪問，或者發布用于中央使用的應用程序。該協議還常被桌面管理員用來遠程訪問用戶系統，以協助排除故障。如果RDP沒有正確配置的話，這種特定功能將會給企業帶來威脅，因為未授權訪問者將可以訪問關鍵企業系統。

如何保護RDP

現在我們了解了什么是RDP以及企業如何使用它，以下是保護RDP的一些方法：

確認在客戶端和服務器之間使用了128位加密；128位加密允許使用更強大的不太容易被破解的密鑰。在默認情況下，RDP連接會嘗試使用128位加密，但如果它不能使用128位加密的話，客戶端很可能會回到64位加密。為了確保系統不會回落到較低級別的加密，管理員可以將組策略對象（GPO）配置為符合各自標準的加密級別。我們建議大家啟用“高級”加密。

如果訪問系統需要通過外部網絡，不應該開放端口讓任何人都可以濫用，我們建議將VPN配置為返回網絡，然后使用RDP。更好的辦法是創建一個遠程桌面網關，允許通過HTTPS和RDP的遠程連接來創建一個更安全的加密連接來連接端點。這兩種方法都建議保持外圍網絡RDP端口3389的開放。

通過使用較新版本的windows操作系統，在建立對RDP主機服務器的連接之前，管理員可以啟用網絡級身份驗證（NLA）作為身附加的份驗證。這使身份驗證從系統脫離出來，占用更少的資源。這還有助于減少潛在通過暴力破解實施的拒絕服務（DoS）攻擊。NLA作為一個緩沖區，防止攻擊者使用訪問請求來阻塞RDP主機服務器。

在默認情況下，RDP主機系統在3389端口監聽來自RDP客戶端的連接請求。我們可以改變RDP服務的這個監聽端口，以防止惡意軟件或者攻擊者通過掃描系統來找尋端口3389的RDP，從而保護網絡安全。然而，這種“模糊安全”方法可能會導致錯誤和疏忽。你可以改變端口，但是你需要一個很好的理由。