遠程桌面登錄(mstsc)是管理Windows服務(wù)器最主要的方式���,于是很多不法分子打起了通過遠程桌面入侵的歪心思���。他們采用暴力破解或撞庫的方式破解系統(tǒng)賬戶密碼,悄悄潛入服務(wù)器��。暴力破解遠程桌面效果如下圖一��。
(圖一:暴力破解遠程賬戶和密碼)
同時層出不窮的遠程代碼執(zhí)行漏洞也嚴重威脅著服務(wù)器的安全�,攻擊者可以利用遠程代碼執(zhí)行漏洞在服務(wù)器上執(zhí)行任意代碼,繼而完全控制服務(wù)器�����。一般來說�����,只要Windows服務(wù)器啟用了遠程桌面服務(wù)���,就可能出現(xiàn)遠程代碼執(zhí)行漏洞。
那么如提升遠程登錄安全防護能力呢��?本文就對幾種常見的防護方式進行講解分析��。
一、 關(guān)閉遠程桌面
是的���,就是關(guān)閉遠程桌面服務(wù)���,任何人都沒法遠程登錄。
這種主要適合云服務(wù)器���,管理員可以通過云廠商控制臺的“VNC登錄”進行遠程管理服務(wù)器��,操作雖然沒有直接遠程登錄方便��,但也能完成絕大部分操作����,而且絕對安全�����。至于遠程代碼執(zhí)行漏洞�,更不用擔心了,因為遠程端口沒有開放���,黑客壓根觸碰不到此漏洞�����。
對于沒有VNC的服務(wù)器���,可以采用人工在線開關(guān)遠程桌面操作�����,需要遠程時開啟遠程桌面服務(wù)����,不需要遠程時關(guān)閉遠程桌面服務(wù)�����,需要借助第三方軟件才能實現(xiàn)����,可以使用《護衛(wèi)神.防入侵系統(tǒng)》在線開關(guān)遠程桌面。
二���、 限制終端計算機名
對遠程終端設(shè)備的名稱進行限制�����,只有設(shè)備名稱(如計算機名)匹配的終端才能遠程登錄����。
這種方法從10多年前起就非常流行����,能很大程度提升遠程桌面安全。但也存在一些問題���,例如攔截滯后����。該模式是賬戶密碼驗證通過以后才觸發(fā)���,因此黑客可以成功暴破賬戶密碼�。同時遠程端口一直處于開放狀態(tài)�,黑客可以成功利用遠程代碼執(zhí)行漏洞。
三���、 登錄驗證碼
遠程登錄時���,先輸入一個隨機驗證碼��,驗證通過后���,才能進入輸入賬戶密碼的頁面。
此方法在終端計算機名的基礎(chǔ)上又提升了很大的安全性��,因為黑客暴力破解不了����。但是遠程端口仍然一直處于開放狀態(tài),黑客可以成功利用遠程代碼執(zhí)行漏洞�����。
四���、 終端IP限制
對遠程終端設(shè)備的IP地址進行限制�����,只有IP地址匹配的終端才允許登錄�����。
這是目前最為安全的方法�����,因為IP地址沒法偽造�,黑客就沒法暴力破解�。同時對IP不匹配的終端來說,服務(wù)器的遠程端口是關(guān)閉的�,因此黑客也不能通過遠程代碼執(zhí)行漏洞進行入侵。
唯一的問題就是:絕大部分用戶都是家庭寬帶����,沒有獨立IP,如何動態(tài)設(shè)置授權(quán)IP呢��?
這個就需要使用第三方安全軟件實現(xiàn)���,推薦使用《護衛(wèi)神.防入侵系統(tǒng)》�����,因此其不僅支持IP���,還支持IP段和動態(tài)域名���,更支持區(qū)域,非常有特色�。如下圖一,限制只允許“成都”地區(qū)IP遠程登錄���,非成都地區(qū)登錄時遠程端口都不對其開放����。黑客和你同所城市的可能性非常小�����,幾乎為零�,因為黑客為了不被抓捕,都會使用國外服務(wù)器來暴力破解�����。
(圖二:只允許成都地區(qū)遠程登錄服務(wù)器)
以城市進行整體限制���,既解決沒有獨立IP的困擾�����,也不會對運維人員產(chǎn)生額外的工作��。如果覺得整所城市開放不安全�,沒關(guān)系,還可以限制終端計算機名���,“IP+計算機名”���,這樣就絕對安全了�����!如下圖三�,護衛(wèi)神防入侵系統(tǒng)提供了多種防護措施,可以疊加使用�,讓安全加倍。防護功能包括:開/關(guān)遠程桌面服務(wù)����、限制終端IP/區(qū)域、限制終端計算機名���、限制遠程登錄時間�、防暴力破解,以及登錄消息通知���。
(圖三:護衛(wèi)神遠程桌面防護)
通過“登錄消息通知”模塊��,可以及時知曉誰登錄了服務(wù)器�,讓安全一目了然����,如下圖四。
(圖四:遠程登錄消息通知)
本文對四種提升遠程登錄安全的方法進行了詳細的分析����,請根據(jù)你的需要,選擇適合自己的方法�。
