远程桌面安全层为RDP层被黑客攻破的可能性多大,一般黑客会用什么手段对远程桌面RDP层进行攻击?
问题
-
尊敬的微软工程师,
由于近期Windows2012r2安全更新质量汇总导致使用Windows2012r2 mstsc连接到Windows2012R2服务器出现错误
我们通过测试发现注册表修改如下值后可以正常远程桌面连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
中UserAuthentication=0,SecurityLayer=0
我们知道SecurityLayer为0,1,2分别为RDP层、协商、TLS1.0(SSL)
这样场景下RDP层是安全性较为弱的,请问如何改善这一的安全等级?
谷青松
- 已编辑 谷青松 2020年3月10日 4:05 安全
全部回复
-
你好,
这算是对新的RD客户机的一个更改,需要关闭NLA,这样才能RDP. 因为CredSSP,CredSSP是支持NLA的底层技术,它不支持修改密码。因此,在MSTSC中不允许更改密码。支持NLA的其他RD客户端应该无法更改用户的密码。微软推荐的还是使用RDweb或者exchange server OWA来进行更改密码。
官网的一些信息:
This is by design. It keeps RDP secure. Your users will need to change their password using RDweb or your exchange server's OWA. If you disable NLA, make sure that server is not accessible from the Internet via RDP.
In the protocol specification for CredSSP, there is no reference to the ability to change the user's password while NLA is running. Therefore, the observed behavior can be considered "by design."
不知道您是否有RDS的collection broker这个角色,如果有的话,不用编辑注册表,直接在UI界面就可以操作。
如果RDS服务器中搭建了RDS collection broker,那么可以打开Server Manager -- RDS -- Collections -- <yourcollection> -- Tasks -- Edit Properties -- Security tab -- uncheck Allow connections only from computers running Remote Desktop with Network Level Authentication.
然后在collection选择SecurityLayer
如果RDS服务器没有建RDS collection broker,那么右键电脑属性:System Properties -- Remote tab -- uncheck Allow connections only from computers running Remote Desktop with Network Level Authentication.
或者可以更改.rdp的文件,打开.rdp的文件然后加一行enablecredsspsupport:i:0
对于黑客可能攻击的手段,大多数的都是通过扫描端口,3389,就像之前的永恒之蓝的病毒有关445的端口。扫描IP地址段,查询开放了某个端口的有哪些主机响应,将开放的远程管理端口,我们能做的是提高安全意识,采取基于主机和网络的适当预防和检测方法来进行主动监控。这样当你的主机在收到外部端口扫描的时候会向你警报。
如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在
Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
- 已编辑 Carl FanMicrosoft contingent staff 2020年3月11日 1:45
