怎樣使遠(yuǎn)程桌面協(xié)議更安全

責(zé)任編輯:sjia

2012-08-21 10:18:10

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在外圍網(wǎng)絡(luò)或者操作系統(tǒng)使用防火墻來(lái)過(guò)濾入站請(qǐng)求,只允許經(jīng)批準(zhǔn)的來(lái)源和目的地通過(guò)RDP連接,可以限制能夠連接到這些服務(wù)器的用戶。

在外圍網(wǎng)絡(luò)或者操作系統(tǒng)使用防火墻來(lái)過(guò)濾入站請(qǐng)求,只允許經(jīng)批準(zhǔn)的來(lái)源和目的地通過(guò)RDP連接,可以限制能夠連接到這些服務(wù)器的用戶。如果某個(gè)特定群體的人只能連接到特定服務(wù)器組,圍繞這些請(qǐng)求來(lái)修改防火墻規(guī)則將有助于控制訪問(wèn)權(quán)限。

確定誰(shuí)能夠建立到服務(wù)器的RDP連接??紤]將RDP訪問(wèn)限制到特定群體(通過(guò)組策略或者對(duì)目標(biāo)計(jì)算機(jī)手動(dòng)操作),而不是對(duì)所有人開(kāi)放,限制訪問(wèn)權(quán)限。同時(shí),我們建議將本地管理員賬戶從RDP訪問(wèn)刪除,所有用戶的賬戶都應(yīng)該提前在系統(tǒng)中進(jìn)行明確定義。

雖然NLA可以當(dāng)做某種形式的身份驗(yàn)證,使用SSL證書(shū)來(lái)驗(yàn)證到主機(jī)系統(tǒng)的客戶端請(qǐng)求是用于RDP最好的驗(yàn)證方法。將證書(shū)安裝在系統(tǒng)和RDP客戶端上,只有證書(shū)通過(guò)驗(yàn)證,才可以建立RDP會(huì)話。

確保所有運(yùn)行RDP的系統(tǒng)都安裝了最新的修復(fù)補(bǔ)丁,特別是在最近導(dǎo)致微軟發(fā)出安全公告MS12-020的事件之后。

最后,使用GPO來(lái)強(qiáng)制執(zhí)行密碼政策,要求在域中使用一定長(zhǎng)度的密碼,并設(shè)置鎖定政策以防止攻擊者暴力破解入侵服務(wù)器。

抵御惡意使用RDP

上述方法可以幫助企業(yè)保護(hù)在企業(yè)中使用RDP?,F(xiàn)在,讓我們看看企業(yè)應(yīng)該如何驗(yàn)證RDP有沒(méi)有被使用,以保護(hù)企業(yè)免受RDP惡意使用或者未經(jīng)授權(quán)的安裝。

在網(wǎng)絡(luò)內(nèi)部和外部運(yùn)行漏洞或端口掃描,可以幫助確認(rèn)是否有任何系統(tǒng)在監(jiān)聽(tīng)RDP連接。在內(nèi)部運(yùn)行這種掃描,可以確認(rèn)哪些系統(tǒng)在運(yùn)行RDP,然后由企業(yè)的團(tuán)隊(duì)來(lái)確實(shí)他們是否應(yīng)該運(yùn)行這些軟件。從外部網(wǎng)絡(luò)的角度來(lái)看,如果掃描結(jié)果顯示RDP監(jiān)聽(tīng)來(lái)自外部,IT團(tuán)隊(duì)必須盡快采取行動(dòng)。很多漏洞掃描器發(fā)現(xiàn)RDP在非標(biāo)準(zhǔn)端口運(yùn)行,這可以幫助企業(yè)找出試圖偷偷RDP安裝的人。

使用日志記錄或者安全事故和事件管理(SIEM)系統(tǒng)來(lái)確定哪些設(shè)備正在監(jiān)聽(tīng)和接收RDP會(huì)話,這可以讓你了解網(wǎng)絡(luò)中正在發(fā)生何種類型的RDP連接。某些系統(tǒng)是否出現(xiàn)多次失敗登錄?其他系統(tǒng)是否在接受不應(yīng)該接受的連接?

最后,確保系統(tǒng)沒(méi)有不恰當(dāng)使用RDP的最好方法是:定義一個(gè)組策略,只允許經(jīng)批準(zhǔn)的系統(tǒng)來(lái)運(yùn)行RDP。

總而言之,RDP是一個(gè)偉大的工具,管理員和用戶可以從一個(gè)中央位置使用RDP來(lái)建立對(duì)系統(tǒng)的多個(gè)連接。管理員還可以將RDP用于遠(yuǎn)程系統(tǒng)管理,但是和其他系統(tǒng)一樣,如果連接和軟件不安全的話,企業(yè)可能面臨風(fēng)險(xiǎn)。了解RDP如何運(yùn)作,為什么要使用RDP以及如何保護(hù)RDP安全,能夠幫助管理員更好地保護(hù)其系統(tǒng)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)