有一次,我去一家游戏开发公司做安全评估。他们的技术总监很自豪地说他们已经实现了远程办公,程序员在家也能访问公司的开发环境和代码仓库。我问他是怎么实现的,他说很简单,给每个程序员在公司内网的Windows电脑上开了远程桌面功能,在家里用远程桌面客户端连回来。我追问了一句:远程桌面端口有没有改过?他愣了一下说,什么端口?
我没有当场说什么,但心里已经在算这家公司的风险敞口了。远程桌面协议是Windows系统自带的远程访问功能,使用起来确实方便,但也因为使用广泛,成了黑客最喜欢的攻击目标之一。默认端口3389每年被扫描的次数数以亿计,只要这个端口暴露在公网上,几小时内就会被各种自动化扫描工具发现并尝试攻击。
远程桌面协议涉及的安全配置其实很多,但很多企业在部署时只关注"能不能连上",而忽略了"安全不安全"。
首要个也是常见的问题是默认端口没有修改。远程桌面协议默认使用3389端口,这个端口号几乎每个安全从业人员和安全扫描工具都知道。如果直接把3389端口映射到公网上,等于在告诉全世界的黑客:我这里有一个远程桌面,请随意攻击。虽然修改端口只能防住自动化扫描,不能防住定向攻击,但至少能过滤掉百分之九十九的无差别攻击。
第二个问题是网络层认证没有启用。网络层认证是远程桌面协议的一个安全特性,在建立完整连接之前先完成身份验证。如果没有启用这个功能,攻击者可以在身份验证阶段就发起拒绝服务攻击或者利用远程桌面协议中的漏洞进行攻击。
第三个问题是弱密码。这一点不用我多说,我见过太多使用简单密码的案例了。远程桌面暴力破解工具非常成熟,如果密码不够复杂,用不了多长时间就能被破解。有一个我印象很深的案例:某公司的远程桌面使用的是password123这个密码,攻击者只用了不到一分钟就登录进去了。
第四个问题是错误的用户权限分配。有些公司为了让所有员工都能远程办公,直接把员工账号加到了管理员组。这意味着员工通过远程桌面登录后,拥有对整台电脑的完全控制权。如果员工自己的账号密码被盗,攻击者也会拿到管理员权限。
第五个问题是远程桌面网关没有部署。远程桌面网关是微软推荐的安全方案,它通过HTTPS加密隧道来封装远程桌面连接,可以有效避免远程桌面协议直接暴露在网络中。同时远程桌面网关还可以做更细粒度的访问控制和审计。
针对远程桌面的安全配置,北京企密安信息安全技术有限公司的工程师总结了一套操作指南。
首要步,永远不要把远程桌面端口直接暴露在公网上。如果员工需要通过公网访问公司电脑,可以在前面部署一个VPN接入层,员工先通过VPN连接到公司内网,再通过内网使用远程桌面。或者部署远程桌面网关,加密连接并加一层身份验证。
第二步,修改远程桌面的默认端口。虽然这不能防住所有攻击,但能有效减少自动化扫描工具的侵扰。修改端口后记得在防火墙中同时放行新端口并关闭旧端口。
第三步,启用网络层认证。这个选项在远程桌面设置中可以找到,启用后能提升连接前的身份验证安全性。
第四步,实施账户权限分离。给远程桌面用户分配仅满足工作需要的权限,不要直接给管理员权限。如果确实需要管理员权限才能完成的工作,可以单独设置一个专用的管理账号,并严格限制使用场景。
第五步,设置账户锁定策略。在组策略中配置远程桌面登录的失败次数限制,比如连续五次密码错误后锁定账户一段时间。这个配置可以有效对抗暴力破解攻击。
第六步,开启远程桌面的登录审计。记录谁在什么时间登录了远程桌面、会话持续了多长时间,这些信息在出现安全事件时非常重要。
第七步,定期检查和更新远程桌面协议的补丁。微软会不定期发布远程桌面协议的安全更新,及时应用这些更新能有效降低已知漏洞被利用的风险。
远程桌面是一个成熟且实用的工具,但它的安全问题一直存在。只要配置得当,远程桌面仍然可以为远程办公提供便利的同时保障基本的安全。
常见问题
问:远程桌面网关需要额外付费吗?
答:远程桌面网关是Windows Server的角色之一,如果你已经拥有Windows Server的授权,可以直接安装使用,不需要额外付费。另外也有一些开源的远程桌面网关替代方案可以选用。
问:除了微软远程桌面,还有其他远程桌面方案推荐吗?
答:市面上有不少替代方案,它们各有侧重。有些以高性能为主要卖点,适合设计、视频剪辑等对画面流畅度要求高的场景。有些以跨平台兼容性为优势,支持从手机和平板设备远程接入。选择时应该综合考虑安全功能、性能和成本。
