Pau*_*aul 2 security remote-desktop
我家里有一台 Windows 7 64 位机器,用作“服务器”计算机。它运行 Windows 媒体中心,并为我家中的每个房间提供电视。它还用作家庭的共享存储,为 Windows 备份和我的家人想要保留副本的任何文件提供空间。
这台电脑也用作我的个人电脑。我有自己的帐户,可以通过 RDP 访问。当我想使用 PC 时,我会拿起家用笔记本电脑或我妻子的计算机,然后将这个 Windows 7 盒子 RDP 到我的帐户、桌面、应用程序等。我也可以使用我的家外 RDP 到这台机器公共 IP 地址。
最近我被黑了。RDP 日志显示有人以我的身份登录。他们打开 Chrome 并在浏览器中找到了存储的密码。这些当然可以通过 Chrome 中的开发人员控制台提取。这导致通过我的 PayPal 和 Google 帐户收取 10,000 美元的欺诈性费用,进而影响我的支票和信用卡。
我的密码包含字母、数字和符号。怎么会有人这样做?我可以做些什么来增强未来的安全性?该盒子目前处于离线状态,直到我可以运行病毒和恶意软件扫描以及 HijackThis 等。我害怕重新插入网线。我不想要真正的 Windows Server,因为我会失去 MCE 和否则我只是真正使用共享存储。
thi*_*a R 13
怎么会有人这样做?
根据您的设置,可能有很多可能的方法。在不查看受影响设备的日志或网络配置的情况下,回答这个问题主要是猜测,而且讨论范围太广。如果您有任何特定的日志、设置图表等,则可以确定可能的攻击点,并且可以缩小对此的答案。
我可以做些什么来增强未来的安全性?
确保启用网络级别身份验证
默认情况下,Windows 7 提供网络级身份验证 (NLA)。最好保留这一点,因为 NLA 在建立连接之前提供了额外的身份验证级别。如果您在不支持它的其他平台上使用远程桌面客户端,则应仅将远程桌面服务器配置为允许没有 NLA 的连接。
确保您拥有最新的 Windows 更新和安全软件更新
每天都会发现新漏洞,因此最好确保您拥有最新的 Windows 更新以及您使用的任何安全软件的更新。例如,存在这样的漏洞:RDP 中的漏洞可能允许远程代码执行 (3073094)(这确实影响了您在问题中提到的 Windows 7 x64)。如果您没有适当的更新,有人可能会利用这些漏洞进入您的 PC。
使用防火墙限制访问
使用防火墙(可用的软件和硬件)来限制对远程桌面侦听端口的访问(默认为 TCP 3389)。
限制可以使用远程桌面登录的用户
默认情况下,所有管理员都可以登录远程桌面。如果您的计算机上有多个管理员帐户,则应将远程访问仅限于需要它的那些帐户。如果远程桌面不用于系统管理,请通过 RDP 删除所有管理访问权限,只允许需要 RDP 服务的用户帐户。对于远程管理多台机器的用户,从 RDP 访问权限中删除本地管理员帐户并添加一个技术组。
Start→ Programs→ Administrative Tools→ Local Security Policy。Local Policies,单击User Rights Assignment,转到Allow logon through Terminal Services。或者Allow logon through Remote Desktop Services。设置帐户锁定策略
通过将您的计算机设置为在多次错误猜测后锁定帐户一段时间,您将有助于防止黑客使用自动密码猜测工具访问您的系统(这称为“暴力”攻击) . 要设置帐户锁定策略:
Start→ Programs→ Administrative Tools→ Local Security Policy。Account Policies点击下Account Lockout Policies。有关详细信息,请参阅帐户锁定政策。
更改远程桌面的监听端口
更改侦听端口将有助于“隐藏”远程桌面,黑客正在扫描网络以查找在默认远程桌面端口 (TCP 3389) 上侦听的计算机。这可以防止最新的 RDP 蠕虫,例如Morto。为此,请编辑以下注册表项(警告:除非您熟悉 Windows 注册表和 TCP/IP,否则请勿尝试此操作):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
将侦听端口更改为3389其他端口,并记住使用新端口更新任何防火墙规则。
请注意:虽然这种方法很有帮助,但它是通过默默无闻的安全性,这不是最可靠的安全方法。您应该确保您还使用其他方法来收紧访问权限。
如果可能,使用 RDP 网关
强烈建议使用 RDP 网关。但是,这需要安装在服务器操作系统上。它内置于 Windows Server 2008 和 2012。它提供了一种方法来严格限制对远程桌面端口的访问,同时支持通过单个“网关”服务器进行远程连接。使用 RD 网关服务器时,桌面和工作站上的所有远程桌面服务都应限制为仅允许从 RD 网关访问。RD 网关服务器通过 HTTPS(端口 443)侦听远程桌面请求,并将客户端连接到目标计算机上的远程桌面服务。
有许多在线文档用于配置它。官方文档在这里:安装 RD 网关
安装配置角色服务主要如描述;但是,建议使用证书。使用自签名证书可以进行测试。
将客户端配置为使用 RD 网关很简单。MS 客户端的官方文档在这里:为远程桌面网关配置远程桌面连接设置
如果可能,通过 IPSec 或 SSH 建立隧道远程桌面连接
如果使用 RD 网关不可行,您可以通过 IPSec 或 SSH 建立远程桌面会话的隧道来添加额外的身份验证和加密层。IPSec 内置于 Windows 2000 之后的所有 Windows 操作系统中,但在 Windows Vista/7/2008 中使用和管理有了很大改进(参见:IPsec)。如果 SSH 服务器可用,您可以使用 SSH 隧道进行远程桌面连接。见隧道远程桌面在SSH用腻子,远程桌面创建一个SSH隧道和使用Linux操作系统中如何隧道Windows远程桌面通过ssh?对于一些例子。
使用现有的管理工具进行 RDP 日志记录和配置
不建议使用 VNC 或 PCAnywhere 等其他组件,因为它们可能会像使用 RDP 一样加密会话。RDP 还具有通过 GPO 的集中管理方法的好处(如果在域中使用,在您的方案中可能不是这种情况)。只要有可能,请使用 GPO(如果可能)或其他 Windows 配置管理工具,以确保在您家中的所有 PC 上进行一致且安全的 RDP 配置。
通过强制使用 RDP 网关,您还可以获得第三级审计,这比梳理目标 PC 上的所有内容更容易阅读。这种类型的日志可以更轻松地监控 RDP 在设置中的所有计算机上的使用方式和时间,以防发生其他事件。
如果可能,使用双因素身份验证
考虑使用双因素身份验证方法。RD 网关确实提供了一种简单的机制,用于通过基于双因素证书的智能卡控制身份验证。其他两个因素的方法需要在远程桌面主机本身使用另一种方法,例如YubiKey、RSA。
网络访问保护 (NAP) 的额外安全性
您还可以研究将网络访问保护 (NAP)与 RD 网关(在服务器操作系统上)一起使用,但是,该技术和标准还没有得到很好的开发或可靠。如果您强制执行它,许多客户端将无法工作,尽管通过遵循文档,您可以审核系统以查看它是否认为客户端符合安全性。
| 归档时间: |
|
| 查看次数: |
10681 次 |
| 最近记录: |