top of page
  • 作家相片Hank Huang / WIZON Pro

WINDOWS 遠端桌面 RDP 潛藏的資安風險


WINDOWS 遠端桌面 RDP 潛藏的資安風險

新常態:方便的遠端工作模式

在數位化工作環境中,遠端作業的需求經歷了顯著的轉變。過去,我們受到地理限制,訪問遠方資源需要耗費相應的時間成本,但現在透過遠端作業,不論身在何處,可以立即訪問到遠方伺服器資源,這讓工作地點不再受限。這種靈活性改變了我們的工作方式,也促使企業在全球範圍內更靈活地招聘和合作。

近期因 COVID-19 於全球的流行,也推動了新型態的作業模式。遠距工作變得不再是選擇,而是生存之道。公司被迫積極實施遠程工作,這促使他們積極採用遠程作業工具,以確保業務持續運營。這一現象不僅改變了我們的工作方式,還強調了遠程作業在現代工作環境中的重要性。遠端作業的需求已經經歷了一場資訊科技的變革,並且在全球化、即時性和全球事件的影響下不斷演變。

現今有許多工具能夠使用來協助我們進行遠距作業,最常見的像是Windows 內建的 RDP(Microsoft Remote Desktop Protocol)服務、開源的 VNC(Virtual Network Computing)、或是遠端控制工具(如TeamViewer、AnyDesk)、以及線上會議工具(如Zoom、Cisco Webex)等。其中又以微軟內建的遠端桌面服務 RDP(Remote Desktop Protocol) 對於大多數用戶來說取得最為方便,不過也是資安最大的風險隱患。因為RDP服務是 Windows 作業系統的一部分,只需要將RDP服務開啟就可以馬上使用,不過越方便的服務也意味著越容易被網路攻擊者做為的目標,接下來我們來探討相關的問題與風險。


RDP 潛藏的風險
原生就具備在 Windows 作業系統的 RDP 遠端桌面服務,做為讓使用者能夠更方便管理系統主機,也代表著這是一種存取核心主機的方式,多數用戶為了方便在外也能即時處理主機,透過網路對外開放 RDP 遠端桌面服務的存取,攻擊者也看準了這一點,利用猜測密碼或暴力攻擊的方式入侵主機系統,這種作法增加了主機受到入侵的風險。
RDP 遠端桌面服務本身也可能存在漏洞,這些漏洞可能被攻擊者利用。雖然微軟定期針對漏洞發布安全更新,但如果未能及時安裝這些更新,主機會變得更加容易受到攻擊。這些安全漏洞會被惡意軟體(例如勒索軟體)利用,攻擊者可能會使用已知的漏洞或暴力攻擊方式來取得遠程訪問權限,然後進行數據竊取或勒索攻擊。

你以為有用的管制措施
客戶面對遠端桌面的管理方式大不相同,也了解 RDP 遠端桌面服務有著相關的風險需要進行管制。以下列出幾點實際在客戶環境中,部分客戶使用的管理措施,這些方法非但沒有任何用處,而且會讓使用者有著已對 RDP 遠端桌面服務進行管制的錯覺,受到攻擊時也不曉得問題到底是從何而來。

1. 更改服務埠,有用嗎?
做法:因 RDP 協定透過TCP 3389 進行服務連線,只要將服務埠更改(例如3333、8989)成非標準服務埠,就不會讓攻擊者發現有開啟遠端桌面服務。 **問題探討:**有許多檢測用途的工具,可以快速掃瞄主機開啟的埠號清單,並判斷該服務埠的用途,並且還可以搭配弱點檢測工具確認是否有相應的漏洞可以被利用。服務埠更改的方式完全無助於保護服務不被外部探測。

2. 強化密碼強度,有用嗎? 做法:只要帳戶密碼驗證強度足夠,主機就可以避免被取得控制權。 **問題探討:**這個觀念非常危險,許多入侵方式是透過系統漏洞的方式進行攻擊。例如知名的 BlueKeep 漏洞,只要系統並未修補該漏洞,攻擊者就透過RDP 連上目標主機,藉此執行程式碼、安裝程式、讀取\刪改 資料、或建立具備管理權限的帳號。並且攻擊者還可以在網路上搜集洩漏資訊,透過撞庫攻擊驗證帳號清單,比對成功後就可以透過「正常」手段進行入侵行為。

3.只在必要時刻對外開啟 RDP 服務,有用嗎?
做法:透過服務管理措施,只在特定時間點開啟 RDP 遠端桌面服務,降低攻擊者探測服務的機會。 **問題探討:**這個做法和前述第一點更改服務埠相同,認爲透過非常態性的服務提供方式,就可以達到遮蔽的效果。同前段所述,RDP 服務只需要透過工具自動檢測,就可以被探勘相應服務的可用性。況且攻擊者只要被探查出開啟服務的時段,配合服務啟用時段再進行探測攻擊,以時程進行管制就顯得毫無意義。

專家具體建議
面對現今資訊管理的需求,我們不可能因為有著相應的風險,而要求不使用相關的管理工具,但也不能背負的已知的風險而無所作為。透過以下幾點建議可以降低使用 RDP 遠端桌面服務所造成的風險:

1.資源與需求盤點
首先身為管理者一定要清楚了解企業環境內的資源,盤點出必要、非必要以及不需要的資源。以遠端連線管理為例,要盤點出有使用遠端連線的需求有哪些、公司內有哪些遠端連線的方法、以及現在有哪些已建立或有可能被建立的遠端連線。把相應資源與需求正向表列管理後,就可依據列表清單制定管理計畫、實行作法、檢視措施以及改善項目。讓遠端連線服務成為可控的工具而不是帶來未知危害的風險。

2.漏洞修補
包含但不止於遠端連線,任何有漏洞的服務一定要安排好相關的更新修補計畫,不能因修補動作會增加工作項目或造成服務停擺,而產生尚未造成危害故延宕處理的心態。 📌 系統為什麼需要更新?注意這3要點,做好安心可靠的系統更新!

3.稽核紀錄管理
不只要檢查是否能正常提供服務,也要做好相關的事件稽核檢視,有需多攻擊(例如撞庫攻擊)是可以透過事件紀錄,察覺企業是否被鎖定且正在被入侵探測中,在造成真正的影響之前改善問題好過於收拾善後的補救措施。 📌 WIZON MASS 端點監控 | 以持續性的資安事件​監控與軌跡分析, 並快速發現異常狀況並告警通報。

4.避免讓外部直接存取主機
對外提供 RDP 遠端桌面服務,代表著該主機直接提供由外部直接存取內部的機會,可搭配高安全強度的連線中繼方式(例如有著 Zero Trust 機制的 VPN 服務或最佳化安全性的 SASE 服務),增加攻擊者入侵主機的難度以及存取的複雜性。

結語
為了減少這些資安風險,企業和用戶應該採取一系列防護措施。這包括禁用不必要的預設帳戶、定期進行作業系統和 RDP 協議的安全更新,並限制RDP的訪問權限,僅允許授權的用戶或IP地址連接。在公共網絡上使用虛擬私人網絡(VPN)可以增加遠程連接的安全性,同時監控RDP 連接以檢測可疑活動也是至關重要的。RDP 是一個方便的工具,但必須謹慎使用和保護,以確保資訊和系統的安全性。

Comentarios


bottom of page