遠(yuǎn)程桌面登錄(mstsc)是管理Windows服務(wù)器最主要的方式��,于是很多不法分子打起了通過遠(yuǎn)程桌面入侵的歪心思���。他們采用暴力破解或撞庫的方式破解系統(tǒng)賬戶密碼��,悄悄潛入服務(wù)器�。暴力破解遠(yuǎn)程桌面效果如下圖一��。
(圖一:暴力破解遠(yuǎn)程賬戶和密碼)
同時層出不窮的遠(yuǎn)程代碼執(zhí)行漏洞也嚴(yán)重威脅著服務(wù)器的安全��,攻擊者可以利用遠(yuǎn)程代碼執(zhí)行漏洞在服務(wù)器上執(zhí)行任意代碼�����,繼而完全控制服務(wù)器�。一般來說,只要Windows服務(wù)器啟用了遠(yuǎn)程桌面服務(wù)����,就可能出現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞���。
那么如提升遠(yuǎn)程登錄安全防護(hù)能力呢?本文就對幾種常見的防護(hù)方式進(jìn)行講解分析��。
一�����、 關(guān)閉遠(yuǎn)程桌面
是的�,就是關(guān)閉遠(yuǎn)程桌面服務(wù),任何人都沒法遠(yuǎn)程登錄���。
這種主要適合云服務(wù)器����,管理員可以通過云廠商控制臺的“VNC登錄”進(jìn)行遠(yuǎn)程管理服務(wù)器�,操作雖然沒有直接遠(yuǎn)程登錄方便,但也能完成絕大部分操作��,而且絕對安全��。至于遠(yuǎn)程代碼執(zhí)行漏洞��,更不用擔(dān)心了,因為遠(yuǎn)程端口沒有開放�,黑客壓根觸碰不到此漏洞。
對于沒有VNC的服務(wù)器�,可以采用人工在線開關(guān)遠(yuǎn)程桌面操作��,需要遠(yuǎn)程時開啟遠(yuǎn)程桌面服務(wù)����,不需要遠(yuǎn)程時關(guān)閉遠(yuǎn)程桌面服務(wù),需要借助第三方軟件才能實現(xiàn)��,可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》在線開關(guān)遠(yuǎn)程桌面��。
二��、 限制終端計算機(jī)名
對遠(yuǎn)程終端設(shè)備的名稱進(jìn)行限制��,只有設(shè)備名稱(如計算機(jī)名)匹配的終端才能遠(yuǎn)程登錄���。
這種方法從10多年前起就非常流行����,能很大程度提升遠(yuǎn)程桌面安全����。但也存在一些問題�����,例如攔截滯后�����。該模式是賬戶密碼驗證通過以后才觸發(fā)���,因此黑客可以成功暴破賬戶密碼。同時遠(yuǎn)程端口一直處于開放狀態(tài)�,黑客可以成功利用遠(yuǎn)程代碼執(zhí)行漏洞。
三���、 登錄驗證碼
遠(yuǎn)程登錄時����,先輸入一個隨機(jī)驗證碼��,驗證通過后���,才能進(jìn)入輸入賬戶密碼的頁面���。
此方法在終端計算機(jī)名的基礎(chǔ)上又提升了很大的安全性��,因為黑客暴力破解不了�。但是遠(yuǎn)程端口仍然一直處于開放狀態(tài)�,黑客可以成功利用遠(yuǎn)程代碼執(zhí)行漏洞。
四��、 終端IP限制
對遠(yuǎn)程終端設(shè)備的IP地址進(jìn)行限制�,只有IP地址匹配的終端才允許登錄��。
這是目前最為安全的方法�����,因為IP地址沒法偽造����,黑客就沒法暴力破解。同時對IP不匹配的終端來說��,服務(wù)器的遠(yuǎn)程端口是關(guān)閉的���,因此黑客也不能通過遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行入侵���。
唯一的問題就是:絕大部分用戶都是家庭寬帶�����,沒有獨立IP�,如何動態(tài)設(shè)置授權(quán)IP呢����?
這個就需要使用第三方安全軟件實現(xiàn),推薦使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》����,因此其不僅支持IP,還支持IP段和動態(tài)域名�����,更支持區(qū)域�����,非常有特色��。如下圖一����,限制只允許“成都”地區(qū)IP遠(yuǎn)程登錄�����,非成都地區(qū)登錄時遠(yuǎn)程端口都不對其開放�����。黑客和你同所城市的可能性非常小�,幾乎為零����,因為黑客為了不被抓捕���,都會使用國外服務(wù)器來暴力破解���。
(圖二:只允許成都地區(qū)遠(yuǎn)程登錄服務(wù)器)
以城市進(jìn)行整體限制,既解決沒有獨立IP的困擾�����,也不會對運維人員產(chǎn)生額外的工作��。如果覺得整所城市開放不安全,沒關(guān)系�����,還可以限制終端計算機(jī)名�����,“IP+計算機(jī)名”���,這樣就絕對安全了���!如下圖三,護(hù)衛(wèi)神防入侵系統(tǒng)提供了多種防護(hù)措施����,可以疊加使用,讓安全加倍���。防護(hù)功能包括:開/關(guān)遠(yuǎn)程桌面服務(wù)�、限制終端IP/區(qū)域����、限制終端計算機(jī)名���、限制遠(yuǎn)程登錄時間、防暴力破解���,以及登錄消息通知�����。
(圖三:護(hù)衛(wèi)神遠(yuǎn)程桌面防護(hù))
通過“登錄消息通知”模塊��,可以及時知曉誰登錄了服務(wù)器�����,讓安全一目了然����,如下圖四�����。
(圖四:遠(yuǎn)程登錄消息通知)
本文對四種提升遠(yuǎn)程登錄安全的方法進(jìn)行了詳細(xì)的分析��,請根據(jù)你的需要����,選擇適合自己的方法。
