如何防范基于 RDP 的攻擊

1.使用VPN
當RDP對Internet開放時會產生嚴重的安全風險。相反，組織應該使用VPN來允許遠程用戶安全地訪問公司網絡，而不將他們的系統暴露給整個Internet。
2.設置強密碼
大多數基于RDP的攻擊依賴于暴力破解。因此，必須在所有RDP客戶端和服務器終端上強制使用強密碼，密碼長、唯一、隨機。
3.使用多種認證
即使是最強大的密碼也可能被泄露。這時，MFA（Multi-Factor Authentication）提供了另外一層保護。啟用 MFA 后，用戶登錄RDP，系統要求輸入用戶名和密碼，然后要求輸入來自其 MFA 設備的動態驗證碼，MFA 設備可以基于硬件也可以基于軟件。
4.使用防火墻來限制訪問
可以使用防火墻來限制RDP對特定IP地址或IP地址范圍的訪問。
5.使用RD網關
Windows server 2008以后的版本，都可以使用RD網關服務器，它使用端口 443，可通過安全套接字層 (SSL) 隧道傳輸數據。
6.封IP
短時間內多次的登錄嘗試失敗，通常表明正在進行暴力攻擊。Windows帳戶策略可用于定義和限制用戶嘗試登錄到RDP的次數。
7.合理分配遠程訪問權限
雖然所有管理員在默認情況下都可以使用RDP，但許多用戶不需要遠程訪問也能完成他們的工作。企業應該始終遵循“最小特權”的原則，將RDP訪問權分配給真正需要的人。
8.更改RDP監聽端口
攻擊者通常通過掃描Internet以確定監聽默認RDP端口(TCP 3389)的計算機來識別潛在目標。

回答所涉及的環境：聯想天逸510S、Windows 10。