概述

远程桌面协议(RDP)是Microsoft专有协议，通常通过TCP端口3389实现与其他计算机的远程连接。它通过加密通道为远程用户提供网络访问。网络管理员使用RDP来诊断问题、登录服务器以及执行其他远程操作。远程用户使用RDP登录组织的网络以访问电子邮件和文件。

网络威胁行为者(CTA)使用向Internet开放的配置错误的RDP端口来获取网络访问权限。然后，他们就可能在整个网络中横向移动、升级权限、访问和泄露敏感信息、获取凭据或部署各种恶意软件。这种流行的攻击媒介使CTA能够保持低调，因为他们使用合法的网络服务，并为他们提供与任何其他远程用户相同的功能。CTA使用Shodan搜索引擎等工具扫描互联网上开放的RDP端口，然后使用强力密码技术访问易受攻击的网络。受损的RDP凭据也可以在暗网市场上广泛出售。

2018年，观察到勒索软件变体有所增加，这些变体通过不安全的RDP端口或暴力破解密码来战略性地瞄准网络。然后，勒索软件会在整个受感染的网络中手动部署，并与更高的勒索要求相关联。

建议：

• 评估是否需要在系统上打开RDP、端口3389，并且如果需要：

o将任何具有开放RDP端口的系统置于防火墙后面，并要求用户通过防火墙进行VPN访问；

o启用强密码、多重身份验证和账户锁定策略来防御暴力攻击；

o将与特定受信任主机的连接列入白名单；

o如果可能，将RDP登录限制为授权的非管理员账户。坚持最小权限原则，确保用户拥有完成其职责所需的最低访问级别；和

o记录并检查RDP登录尝试是否存在异常活动，并将这些日志保留至少90天。确保只有授权用户才能访问此服务。

·如果不需要RDP，请定期检查以确保RDP端口的安全。

·验证云环境是否遵循云服务提供商定义的最佳实践。云环境设置完成后，确保除非出于业务目的需要，否则不启用RDP端口。

·启用自动Microsoft更新以确保客户端和服务器软件都运行最新版本。

原文始发于微信公众号（河南等级保护测评）：网络安全入门–远程桌面协议