RDP 安全：不要让远程访问敞开大门

Digi 游客
2024 年 5 月 15 日

RDP 是微软公司拥有的一种网络通信协议，允许用户远程连接到另一台计算机，是一种可访问的标准协议。但它在带来便利的同时，也承担着沉重的安全责任。

在当今危险的网络安全环境中，不保证 RDP 的安全就如同把家里的钥匙交给陌生人。一个受到威胁的 RDP 连接可能会导致运行瘫痪、生产线中断，甚至危及安全协议。

潜伏在暗处的 RDP 安全风险

RDP 会带来各种安全风险，包括

• 网络攻击面：要使 RDP 正常工作，必须在网络上开放设备端口。遗憾的是，RDP 的默认设置通常很弱，如禁用的网络级身份验证（NLA）和容易猜到的密码，使其很容易受到暴力破解攻击。
• 访问不受限制：默认情况下，RDP 允许从任何外部 IP 地址访问，从而增加了攻击面和攻击潜力。
• 横向移动：他们可以从被入侵的系统转移到网络内其他有价值的资产。

仅靠传统的 RDP 安全流程是不够的

传统上，安全专家建议采取以下步骤来强化 RDP 访问：

1. 启用网络级身份验证 (NLA)：在建立连接前要求用户进行身份验证，从而增加了一层额外的安全性。
2. 限制访问和端口：将 RDP 访问限制为特定 IP 地址和端口，以防止随意尝试访问系统。
3. 使用强密码和多因素身份验证（MFA）：复杂的密码和多因素身份验证为攻击者增加了一个重要的障碍，使其更难破解你的防御系统。
4. 保持更新：及时修补漏洞至关重要，因为过时的软件很容易成为漏洞利用的入口。
5. 考虑替代方案：探索 VPN 或专用远程访问解决方案等安全替代方案，尤其是针对高风险情况。实际上，很少有组织允许在不使用 VPN 的情况下使用 RDP。但是，VPN 的成本/复杂性会带来自身的问题，而且 VPN 最近也出现了一些问题，导致其保护功能失效。如果基于受 VPN 保护的 RDP 配置是松散/开放的，这就尤其糟糕。

遗憾的是，这些方法都不是万无一失的。你仍然有开放的网络攻击面，攻击者可以从一个系统跳转到另一个系统。虽然 VPN 可以加密你的数据，但它们可能会很慢、不可靠，而且会引起隐私问题，这取决于提供商和用户的使用习惯。

强化远程系统的理想解决方案是在允许完全 RDP 访问的同时解决所有安全问题。这样就不会有攻击面（没有暴露的端口），所有数据都会加密，只有经过加密验证的人才能访问，而且不允许横向移动（除非经过授权）。

听起来不可能？使用 SSH No Ports 就不会。

使用 SSH No Ports 强化 RDP 安全性

Atsign 的 SSH No Ports 解决方案通过创建一个使用加密控制平面实例化的安全隧道来消除这种风险。把它想象成您数据的私人走廊，由安全存储在您设备上的唯一密钥保护。

使用 SSH 无端口增强 RDP 安全性：

• 不再暴露端口 SSH No Ports 不再需要暴露的网络端口，这是攻击者的常见目标。消除这一漏洞可大大加强 RDP 的安全态势。
• 端到端加密：通过隧道传输的所有数据都使用在边缘切割的密钥进行加密。即使被恶意行为者截获，也能确保隐私。
• 加密验证：使用强大的加密方法对每次访问尝试进行验证，阻止未经授权的用户，进一步确保系统安全。
• 减少横向移动：在所有网络设备上实施后，横向移动几乎不会发生。

与传统方法不同，SSH No Ports 无需复杂的防火墙配置或管理大量密码。这不仅简化了安全管理，还简化了访问控制。

使用无端口 SSH 的 RDP

使用 SSH No Ports，可轻松实现无缝 RDP 访问：

1. 创建安全隧道：SSH No Ports 客户端与远程 RDP 服务器创建加密隧道，建立安全连接。
2. 利用熟悉的 RDP：您现有的 RDP 客户端可通过此加密隧道安全连接，为您提供熟悉的 RDP 体验。

超越 RDP：多功能解决方案

SSH No Ports 的优势不仅限于 RDP。它可以为任何 TCP 协议（如 VNC、HTTPS、ICA 等）建立安全连接。

使用 Digi 路由器简化部署

部署 SSH No Ports 涉及两个关键部分：

• SSH No Ports Daemon：它运行在Digi IX40或Digi EX50路由器上的安全Digi 容器中，以加强保护。
• SSH 无端口客户端：这款易于安装的客户端适用于各种平台，包括 Linux、MacOS 和 Windows。

通过 SSH No Ports，您可以将远程访问的安全性和易用性提高到一个新的水平。消除暴露的端口，利用强大的加密功能，享受多功能协议支持，并从简化部署中获益--所有这一切都在一个全面的解决方案中实现。

欲了解更多信息和 SSH No Ports 两周免费试用版，请立即访问www.Noports.com。

下一步工作

• 准备好与 Digi 专家交谈了吗？联系我们
• 想了解更多来自 Digi 的信息？订阅我们的时事通讯
• 或立即选购 Digi 解决方案：如何购买

关于作者

Colin Constable 是 Atsign 公司的联合创始人兼首席技术官，该公司是 NoPorts 等安全远程访问解决方案的先驱。这项创新技术允许在不暴露端口的情况下与设备进行安全连接，大大降低了黑客的攻击面。科林拥有 40 多年的技术经验，他领导 Atsign 构建了一个更加安全和私密的互联网。