帥末
2
帥末2
保護RDP協議安全訪問的方法有以下這些:
確認在客戶端和服務器之間是否使用了128位加密,在默認情況下,RDP連接會嘗試使用128位加密,但如果它不能使用128位加密的話,客戶端很可能會回到64位加密。為了確保系統不會回落到較低級別的加密,管理員可以將組策略對象(GPO)配置為符合各自標準的加密級別。我們建議大家啟用“高級”加密。使用GPO來強制執行密碼政策,要求在域中使用一定長度的密碼,并設置鎖定政策以防止攻擊者暴力破解入侵服務器。
如果訪問系統需要通過外部網絡,不應該開放端口讓任何人都可以濫用,我們建議將VPN配置為返回網絡,然后使用RDP。更好的辦法是創建一個遠程桌面網關,允許通過HTTPS和RDP的遠程連接來創建一個更安全的加密連接來連接端點。這兩種方法都建議保持外圍網絡RDP端口3389的開放。在外圍網絡或者操作系統使用防火墻來過濾入站請求,只允許經批準的來源和目的地通過RDP連接,可以限制能夠連接到這些服務器的用戶。如果某個特定群體的人只能連接到特定服務器組,圍繞這些請求來修改防火墻規則將有助于控制訪問權限。
通過使用較新版本的windows操作系統,在建立對RDP主機服務器的連接之前,管理員可以啟用網絡級身份驗證(NLA)作為身附加的份驗證。這使身份驗證從系統脫離出來,占用更少的資源。這還有助于減少潛在通過暴力破解實施的拒絕服務(DoS)攻擊。NLA作為一個緩沖區,防止攻擊者使用訪問請求來阻塞RDP主機服務器。
在默認情況下,RDP主機系統在3389端口監聽來自RDP客戶端的連接請求。我們可以改變RDP服務的這個監聽端口,以防止惡意軟件或者攻擊者通過掃描系統來找尋端口3389的RDP,從而保護網絡安全。然而,這種“模糊安全”方法可能會導致錯誤和疏忽。
確定誰能夠建立到服務器的RDP連接。考慮將RDP訪問限制到特定群體,通過組策略或者對目標計算機手動操作,而不是對所有人開放,限制訪問權限。同時,我們建議將本地管理員賬戶從RDP訪問刪除,所有用戶的賬戶都應該提前在系統中進行明確定義。
確保所有運行RDP的系統都安裝了最新的修復補丁。
推薦文章
