微软远程桌面惊现口令时光机：旧口令为何能永久通行？

据Ars Technica 5月1日最新文章，微软远程桌面协议（RDP）近期被曝存在严重设计缺陷：即使用户已修改微软或Azure账户密码，攻击者仍可通过旧密码无限期远程登录设备。其核心问题源于本地凭证缓存机制——用户首次通过在线账户登录RDP时，系统会在本地硬盘加密存储密码副本，此后所有RDP登录仅核对此缓存而非实时验证云端密码有效性。这一设计导致多重安全风险：旧密码可绕过多因素认证（MFA）和条件访问策略，Defender等安防产品全程无告警，使国家级黑客能长期潜伏或勒索软件维持控制权，而管理员却难以察觉异常登录。微软辩称此行为系"确保断网可登录"的设计决策，并更新文档轻描淡写提示风险，但安全研究员Daniel Wade指出这造成"安全信任崩塌"，专家Will Dormann更批评"从逻辑上毫无安全意义"。目前唯一解决方案是禁用本地缓存验证（关闭"仅允许Windows Hello登录"选项），但将导致断网无法远程访问。讽刺的是，微软早在2023年8月就收到漏洞报告，却以"维护兼容性"为由拒绝修复。在零信任架构成主流的当下，此举不仅暴露微软将商业便利凌驾于基础安全之上，更为全球数百万用户埋下"隐形后门"，凸显科技巨头在安全与用户体验间的失衡抉择。

问题细节：本地凭据缓存埋下隐患

微软远程桌面协议（RDP）存在一个反直觉的设计逻辑：即使用户已通过微软或Azure账户修改口令，攻击者仍可通过旧口令无限期远程登录目标设备。其核心机制在于本地凭据缓存——首次使用在线账户登录RDP时，系统会在硬盘中加密存储口令副本。此后所有RDP登录仅核对本地缓存，不再联网验证口令有效性。这意味着：

修改云端口令后，旧口令仍可通过RDP远程控制设备

部分情况下，多个旧口令同时生效，新口令反而被"无视"

微软Defender、Entra ID等安全产品全程静默，无任何告警

微软官方将此归为"设计决策"，声称是为确保用户断网时仍能登录，但安全研究员Daniel Wade指出："这相当于在系统中留下静默后门，违背了口令失效的基本安全原则。"

危害及后果：攻击者的"永恒通行证"

这一漏洞对个人和企业构成多重威胁。

APT攻击的温床：国家级黑客可利用此特性长期潜伏。例如，窃取企业高管微软账户后，即使口令被修改，仍可通过RDP渗透其历史登录过的所有设备，实现横向移动。

勒索软件帮凶：攻击者入侵云端账户后，即使企业紧急重置口令，仍能通过旧口令维持对关键服务器的控制，部署加密程序。

绕过安全防线：多因素认证（MFA）、条件访问策略在此形同虚设——RDP仅依赖本地缓存，完全规避云端安全验证。

隐蔽性强：无日志记录、无告警提示，管理员难以察觉异常登录，数据泄露风险骤增。

业界专家看法："安全信任的崩塌"

安全社区对此设计强烈质疑。

Daniel Wade（漏洞报告者）："这是信任的崩塌。用户认为改口令就能切断入侵，但微软让这成为幻觉。"

Will Dormann（Analygence安全分析师）："从安全角度看这毫无逻辑。如果我是管理员，我会假设旧口令已失效，但现实打脸。"

业界共识：微软将"用户体验"凌驾于安全之上，牺牲了基础防护原则。类似设计在银行或支付系统中绝对不可接受。

缓解措施：亡羊补牢指南

目前唯一解决方案是禁用本地凭据缓存，强制RDP每次联网验证口令。

进入【Windows设置】→【系统】→【远程桌面】

关闭“仅允许使用Windows Hello登录”选项

对企业用户，可通过组策略强制执行此配置

【闲话简评】：微软的"贴心"为何成了用户的噩梦？

微软此举暴露了安全逻辑的致命矛盾——为追求"用户永不锁定"的便利，不惜埋下持久风险。RDP作为企业远程管理核心工具，却允许旧口令永久通行，无异于在防火墙留了扇不上锁的后门。

微软告诉韦德，他并不是第一个将这种行为报告为安全漏洞的人。更令人不安的是微软的态度：早在2023年8月就有研究员报告此问题，但微软以"兼容性"为由拒绝修复，甚至更新文档轻描淡写带过。这种将商业考量置于用户安全之上的做法，与当前严峻的网络攻防形势背道而驰。

讽刺的是，微软近年力推"零信任"架构，但RDP的设计恰恰是零信任的反面教材。当"改口令"这一基础安全动作失效，用户还能相信什么？或许，微软是该重学一课：安全不是便利的代价，而是数字时代的生存底线。

参考资源 

1、https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that/

2、https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/windows-logon-scenarios

原文始发于微信公众号（网空闲话plus）：微软远程桌面惊现口令时光机：旧口令为何能永久通行？