我的路由器後面有一台運行 Windows 10 的小型伺服器。
問題:我是否必須了解與此相關的安全問題?我的意思是我的伺服器是至少每個知道有效使用者名稱/密碼組合的人都可以存取。
如果您想限制誰可以存取您的電腦,請選擇僅允許透過網路層級身份驗證 (NLA) 進行存取。啟用此選項後,使用者必須先向網路驗證自己的身份,然後才能連接到您的電腦。僅允許運行具有 NLA 的遠端桌面的電腦進行連接是一種更安全的身份驗證方法,可以幫助保護您的電腦免受惡意使用者和軟體的侵害。要了解有關 NLA 和遠端桌面的更多信息,請查看為 RDS 連接配置 NLA。
答案1
沒有哪個嚴肅的網路管理員會直接將 RDP 伺服器暴露到 Internet 上。
如果其中存在任何漏洞/後門,不僅系統的一部分(即拐點/跳轉框)“遊戲結束”,而且還為 LAN 上的 DoS 攻擊和指紋桌面提供了機會洩露不必要的資訊。
根據 RDP 伺服器和客戶端的不同,也可能進行 MITM(中間人)攻擊。有多種方法可以實現這一點,包括強制協定降級或依賴不安全的加密技術。你可能會發現https://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/有趣的。
謹慎的運營商可能會設定 VPN,並僅允許透過該 VPN 進行遠端 RDP 訪問,以提供另一層安全性、存取管理、審核和控制。
答案2
微軟的遠端桌面使用加密,所以通訊因此受到合理的保護。弱點是對您的用戶名和密碼進行暴力攻擊。
鑑於駭客不斷掃描網路尋找弱點的方式,以及目前已知(和未知)漏洞利用的數量,最好設定盡可能多的保護措施(但不要過度複雜化)使用權)。
為了確保 RDP 的安全,您可以執行以下操作:
更改遠端桌面偵聽的預設端口
實力雄厚的資歷
使用非預設使用者名稱和長且複雜的密碼受限制的使用者帳戶
secpol.msc
透過運行並導航到來 嚴格限制可以使用 RDP 的用戶 本機策略 > 使用者權限分配,雙擊「允許透過遠端桌面服務登入」並刪除所有顯示的群組,然後新增您的一個使用者。安全等級高
運行gpedit.msc
並導航到 本機電腦原則 > 管理範本 > Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 安全並設定:- 「設定用戶端連線加密等級」-> 啟用和高級別,使用 128 位元加密保護您的會話
- 「需要對遠端 (RDP) 連線使用特定的安全層」-> SSL
- 「要求使用網路層級身份驗證對遠端連線進行使用者驗證」-> 啟用
設定帳戶鎖定策略
要在多次錯誤猜測後鎖定帳戶一段時間,請轉至管理工具 > 本機安全性原則 > 帳號原則 > 帳戶鎖定策略,並為所有三個選項設定值(3 次無效嘗試,3 分鐘鎖定持續時間是合理的)。追蹤您電腦的登入狀況
定期轉到事件檢視器 應用程式與服務日誌 > Microsoft > Windows > TerminalServices-LocalSessionManger > 操作,查看登入資訊。保持較高的UAC水平
建立VPN伺服器
您也可以詳細了解設定 VPN 伺服器(關聯),這將增加另一層安全性。
我在我們的網站上接觸過已經實現上述所有要點的海報,這似乎是足夠的保護。在實施所有這些預防措施後,暴力攻擊基本上變得不可能,因此唯一剩下的威脅就是一些漏洞。但由於在 VPN 登入或 RDP 登入中沒有發現任何漏洞,我認為這種設定足夠安全。
答案3
抱歉,我遲到了,但我想,為了你和其他人的未來參考,你可能會發現我在相關問題上的經驗——讓我們用「有趣」吧。
不久前我在 Linux 伺服器上設定了 OpenVPN。 Linux 使用 IPTables(一個令人驚嘆的網路軟體,順便說一句)具有出色的日誌記錄功能。我打開了 SSH 端口,以便可以傳輸證書。
那天晚上,我查看了日誌,發現外部攻擊者在路由器上暴露該連接埠後幾秒鐘內就開始暴力破解該連接埠。然後,因為他們知道該帳戶可能會在三次失敗嘗試後被鎖定,所以他們的機器人農場使用相同的密碼,並輪換帳戶名稱,從而防止系統識別同一帳戶名稱的多次失敗嘗試。然後,因為他們一定意識到 IPTables 可以阻止來自同一 IP 位址的失敗嘗試,所以他們只嘗試了來自同一 IP 的大約六次嘗試,然後轉移到另一台電腦。
我說機器人農場,因為整個星期(我很快就鎖定了 SSH,但保持端口打開,這樣我就可以觀看——我完全著迷)源來自的 IP 數量從未重複,每隔幾秒鐘一次每天的每一分鐘、每一小時——六次嘗試和一個新的IP 位址出現在同一個按字母順序排列的帳戶名稱清單中。
設定 VPN。使用證書,而不是帳戶名稱。即使您確實有一個很棒的密碼創建系統,也不要暴露 RDP 之類的東西超過幾個小時。不要這樣做。 (順便說一句,我的帳戶名稱在他的清單中,只是等待他找到正確的密碼。)
答案4
我同意通常不建議將 RDP 暴露到互聯網。但在將防火牆設定為僅允許來自已知遠端靜態 IP 位址的 RDP 連線後,我已經完成了幾次存取跳線盒的操作。這樣可以防止任何暴力破解或漏洞。雖然存在中間人攻擊的可能性,但 NLA 不會阻止這種情況。
我對 SSH 也做了類似的事情。