Dr.*_*ail 3 security remote-desktop
我的路由器后面有一个运行 Windows 10 的小型服务器。将远程桌面直接设置到 Internet 并通过更改路由器的配置公开所需的端口非常容易。
问题:我是否必须了解与此相关的安全问题?我的意思是,至少每个知道有效用户名/密码组合的人都可以访问我的服务器。
如果您想限制谁可以访问您的 PC,请选择仅允许使用网络级别身份验证 (NLA) 进行访问。当您启用此选项时,用户必须先通过网络验证自己,然后才能连接到您的 PC。仅允许来自运行带有 NLA 的远程桌面的计算机的连接是一种更安全的身份验证方法,可以帮助保护您的计算机免受恶意用户和软件的侵害。要了解有关 NLA 和远程桌面的更多信息,请查看为 RDS 连接配置 NLA。
没有认真的网络管理员会直接将 RDP 服务器暴露在 Internet 上。
如果其中有任何漏洞/后门,不仅是系统的一部分(即拐点/跳转框)“游戏结束”,而且是 DoS 攻击和局域网上桌面指纹识别的机会提供不必要的信息。
根据 RDP 服务器和客户端,也有可能进行 MITM(中间人)攻击。有多种方法可以做到这一点,包括强制协议降级或依赖不安全的密码学。您可能会发现https://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/很有趣。
谨慎的运营商可能会设置 VPN 并只允许远程 RDP 访问,以提供另一层安全、访问管理、审计和控制。
Microsoft 的远程桌面使用加密,因此通信受到合理保护。弱点是对您的用户名和密码的蛮力攻击。
由于黑客不断扫描互联网以查找弱点的方式,以及当前已知(和未知)漏洞利用的数量,最好设置尽可能多的保护(但不要过度复杂化)使用权)。
为了保护 RDP,您可以执行以下操作:
更改远程桌面侦听的默认端口
强凭据
使用非默认用户名和长而复杂的密码
受限用户帐户
通过运行secpol.msc并导航到
本地策略 > 用户权限分配,双击“允许通过远程桌面服务登录”并删除所有显示的组,然后添加您的一个用户,从而严格限制可以使用 RDP 的
用户。
高安全级别
运行gpedit.msc 并导航到
本地计算机策略 > 管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全性并设置:
设置帐户锁定策略
要在多次错误猜测后将帐户锁定一段时间,请转到管理工具 > 本地安全策略 > 帐户策略 > 帐户锁定策略,然后设置所有三个选项的值(3 次无效尝试,3分钟锁定持续时间是合理的)。
跟踪登录到您的 PC
定期转到“应用程序和服务日志”>“Microsoft”>“Windows”>“TerminalServices-LocalSessionManger”>“Operational”中的“事件查看器
”,以查看登录信息。
保持较高的 UAC 水平
创建一个 VPN 服务器
你也可以去设置一个 VPN 服务器(链接)的长度,这将增加另一层安全。
我在我们的网站上接触过实施上述所有要点的海报,这似乎是足够的保护。实施所有这些预防措施后,暴力攻击基本上是不可能的,因此唯一剩下的威胁就是一些漏洞利用。但是由于在 VPN 登录或 RDP 登录中没有发现任何漏洞,我认为这种设置已经足够安全了。