保护RDP协议安全访问的方法有哪些
保护RDP协议安全访问的方法有以下这些:
确认在客户端和服务器之间是否使用了128位加密,在默认情况下,RDP连接会尝试使用128位加密,但如果它不能使用128位加密的话,客户端很可能会回到64位加密。为了确保系统不会回落到较低级别的加密,管理员可以将组策略对象(GPO)配置为符合各自标准的加密级别。我们建议大家启用“高级”加密。使用GPO来强制执行密码政策,要求在域中使用一定长度的密码,并设置锁定政策以防止攻击者暴力破解入侵服务器。
如果访问系统需要通过外部网络,不应该开放端口让任何人都可以滥用,我们建议将VPN配置为返回网络,然后使用RDP。更好的办法是创建一个远程桌面网关,允许通过HTTPS和RDP的远程连接来创建一个更安全的加密连接来连接端点。这两种方法都建议保持外围网络RDP端口3389的开放。在外围网络或者操作系统使用防火墙来过滤入站请求,只允许经批准的来源和目的地通过RDP连接,可以限制能够连接到这些服务器的用户。如果某个特定群体的人只能连接到特定服务器组,围绕这些请求来修改防火墙规则将有助于控制访问权限。
通过使用较新版本的windows操作系统,在建立对RDP主机服务器的连接之前,管理员可以启用网络级身份验证(NLA)作为身附加的份验证。这使身份验证从系统脱离出来,占用更少的资源。这还有助于减少潜在通过暴力破解实施的拒绝服务(DoS)攻击。NLA作为一个缓冲区,防止攻击者使用访问请求来阻塞RDP主机服务器。
在默认情况下,RDP主机系统在3389端口监听来自RDP客户端的连接请求。我们可以改变RDP服务的这个监听端口,以防止恶意软件或者攻击者通过扫描系统来找寻端口3389的RDP,从而保护网络安全。然而,这种“模糊安全”方法可能会导致错误和疏忽。
确定谁能够建立到服务器的RDP连接。考虑将RDP访问限制到特定群体,通过组策略或者对目标计算机手动操作,而不是对所有人开放,限制访问权限。同时,我们建议将本地管理员账户从RDP访问删除,所有用户的账户都应该提前在系统中进行明确定义。
确保所有运行RDP的系统都安装了最新的修复补丁。