遠端桌面協定 RDP 安全風險與防護

RDP 允許透過網路連線到遠端電腦，但其便利性伴隨著資安風險。直接暴露 RDP 埠於網際網路，容易成為攻擊目標。弱密碼和過時版本更增加風險。建議使用 VPN 建立安全連線，並搭配多因素驗證、網路層級驗證等強化安全性。限制 RDP 存取許可權，僅允許授權使用者和 IP 位址連線，並定期更新系統及軟體版本，以降低漏洞風險。考慮使用 SSH 等更安全的替代方案，並加強員薪水安意識訓練，防範社交工程攻擊。

遠端桌面協定（RDP）的安全風險與防護措施

遠端桌面協定（RDP）是一種利用單一TCP/IP埠（預設為3389）來建立連線的技術，源自於T.128應用程式分享協定。RDP的流量通常是點對點、加密的，並包含所有必要的資料，以便在遠端高效地傳輸和處理整個使用者經驗。RDP可以在Wi-Fi甚至行動網路上正常運作，只要TCP/IP可用即可。

RDP的典型應用場景

提供堡壘主機（bastion host）並將應用程式整合到環境中，模擬本地資源。
允許虛擬桌面介面（VDI）存取雲端環境，使用常見的辦公環境（COE）供員工或承包商使用。
為遠端伺服器提供圖形使用者經驗，以便進行維護、設定和故障排除，無論其位置在哪裡。
為技術支援人員、客服中心和服務台提供遠端存取使用者的功能。
允許員工、承包商、供應商或稽核員存取桌面，以提供類別似於在辦公室中的使用者經驗。

RDP的安全風險

RDP的預設設定僅提供基本的加密和安全功能，如果僅依賴這些設定，將會產生不可接受的風險。RDP直接暴露在網際網路上或允許RDP直接穿越防火牆到內部網路的目標，是極高風險的做法。

加強RDP安全性的措施

不將RDP直接暴露在網際網路上：這是首要的安全規則，因為RDP主機支援監聽埠等待連入連線，即使最安全的安裝也可以被識別為Windows作業系統及其版本。一旦被識別，社交工程、缺失的安全補丁、零日漏洞、暗網上的憑證和不安全的密碼管理都可能導致不當的RDP存取。
使用VPN或現代遠端存取解決方案：許多組織要求使用VPN或現代遠端存取解決方案來連線外部資源，即使這些資源位於DMZ或雲端中。
存取控制列表（Access Lists）：啟用RDP時，預設情況下只允許本地或網域管理員存取。應該消除管理員的存取許可權，只授予適當的標準使用者帳戶RDP存取許可權，並遵循即時（just-in-time）模式，即存取許可權僅在完成任務所需的時間內有效。
預設帳戶的安全性：如果不嚴格遵循存取控制列表的建議，威脅者可以輕易地入侵管理員帳戶以獲得存取許可權。因此，建議將本地機器或網域的管理員帳戶重新命名為不同的、獨特的和不可猜測的名稱。

強化RDP安全性的其他措施

使用特權存取管理（PAM）解決方案來強制執行最低許可權、即時存取和工作階段監控控制。
監控和記錄工作階段活動，以確保其適當性。

RDP安全組態程式碼範例

# 設定RDP的加密層級
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name "SecurityLayer" -Value 2

# 啟用網路層級驗證（NLA）
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name "UserAuthentication" -Value 1

# 設定RDP的工作階段逾時
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -Name "MaxDisconnectionTime" -Value 30000

內容解密：

上述程式碼範例展示瞭如何透過修改登入檔來加強RDP的安全性。首先，我們設定了RDP的加密層級為2，以強制使用TLS加密。接著，我們啟用了網路層級驗證（NLA），以增加額外的安全層級。最後，我們設定了RDP工作階段的逾時時間，以防止未經授權的存取。

綜上所述，加強RDP的安全性需要採取多層面的措施，包括不將RDP直接暴露在網際網路上、使用VPN或現代遠端存取解決方案、設定存取控制列表、強化預設帳戶的安全性等。同時，也需要監控和記錄工作階段活動，以確保其適當性。

遠端桌面協定（RDP）安全風險與替代方案

遠端桌面協定（RDP）是微軟Windows作業系統中常見的遠端存取工具，但其安全性問題一直是企業關注的焦點。RDP的組態與管理若不當，可能導致嚴重的資安風險。

RDP的安全風險

弱驗證機制：RDP預設使用網路層級驗證（NLA），但若未啟用此功能，使用者的憑證將以明文傳輸，極易被竊取。
加密不足：若未設定為「高」加密等級，RDP的加密強度將取決於目標系統所支援的最大金鑰強度，而非透過群組原則設定的最高強度。
剪貼簿重新導向：RDP允許遠端工作階段與本機裝置共用剪貼簿，這可能導致敏感資料外洩或惡意程式碼植入。
印表機重新導向：RDP允許將本機印表機重新導向至遠端系統，這可能導致機密資料被列印或惡意印表機驅動程式被安裝。
工作階段管理：若未限制每個使用者帳戶的RDP工作階段數量，可能導致工作階段被意外斷開，進而造成生產力損失或資訊遺失。

加固RDP組態

為了降低RDP的安全風險，企業應透過群組原則組態以下設定：

啟用網路層級驗證（NLA）
設定「高」加密等級
停用剪貼簿重新導向
停用印表機重新導向
限制每個使用者帳戶的RDP工作階段數量

其他風險與對策

漏洞管理：RDP協定曾經歷多次重大漏洞，如BlueKeep和DejaBlue。企業必須定期更新和修補RDP相關的安全漏洞。
使用者端管理：RDP使用者端可能存在安全漏洞，企業應限制和控管允許存取RDP的使用者端。
授權管理：企業必須確保其使用的RDP相關解決方案已獲得微軟的合法授權。

RDP的替代方案

由於RDP的安全風險較高，企業可考慮以下替代方案：

VNC（虛擬網路計算）：VNC是一種圖形化桌面分享解決方案，具有跨平台的優勢，但其安全性問題與RDP相似。
SSH（安全殼層）：微軟在2018年正式將SSH納入Windows作業系統，允許使用者透過命令列遠端執行各種功能。

遠端存取安全：強化防禦的關鍵

SSH 安全存取的重要性

SSH（Secure Shell）是一種用於安全遠端登入和管理伺服器的協定。儘管 SSH 提供了加密的通訊通路，但若組態不當，仍可能成為攻擊者的目標。強化 SSH 安全需要採取多項措施，包括帳戶存取控制、加密設定和存取控制列表。

強化 SSH 安全的最佳實踐

實施複雜的使用者名稱和密碼：使用特權存取管理解決方案來管理帳戶憑證。
- 設定範例：
```
# 使用強密碼並定期更換
passwd username
```
停用 root 登入：修改 /etc/ssh/sshd_config 檔案以停用 root 登入。
- 設定範例：
```
PermitRootLogin no
```
設定閒置逾時：設定客戶端閒置逾時以減少未經授權的存取風險。
- 設定範例：
```
ClientAliveInterval 360
ClientAliveCountMax 0
```
停用空密碼：確保所有帳戶都使用強密碼。
- 設定範例：
```
PermitEmptyPasswords No
```
限制可透過 SSH 登入的帳戶：使用 AllowUsers 指令限制特定使用者。
- 設定範例：
```
AllowUsers User1 User2
```
更新 SSH 版本：確保使用最新的 SSH 協定版本（Protocol 2）。
- 設定範例：
```
Protocol 2
```
變更預設埠：將預設的 22 埠變更為其他埠以降低被發現的風險。
- 設定範例：
```
Port 2025
```
限制特定 IP 存取：使用防火牆規則限制只有特定 IP 可以存取 SSH。
- 設定範例：
```
iptables -A INPUT -p tcp -s [Your IP] --dport 22 -j ACCEPT
```
啟用多因素驗證：整合多因素驗證以增強安全性。
使用公私鑰對進行驗證：使用 ssh-keygen 生成 RSA 金鑰對進行無密碼登入。
- 設定範例：
```
ssh-keygen -t rsa
```
繫結 SSH 至非對外公開的 IP 位址：確保 SSH 服務僅在內部網路或透過堡壘主機存取。

程式碼範例與解密

以下是一個修改 SSH 組態檔的範例：

# 編輯 /etc/ssh/sshd_config 檔案
sudo nano /etc/ssh/sshd_config

# 將以下內容加入或修改至組態檔中
PermitRootLogin no
ClientAliveInterval 360
ClientAliveCountMax 0
PermitEmptyPasswords No
AllowUsers User1 User2
Protocol 2
Port 2025

# 重啟 SSH 服務以套用變更
sudo systemctl restart sshd

內容解密：

編輯 /etc/ssh/sshd_config 檔案是修改 SSH 組態的主要步驟。
PermitRootLogin no 的設定可以防止攻擊者嘗試破解 root 密碼。
ClientAliveInterval 和 ClientAliveCountMax 的設定可以讓 SSH 連線在閒置一段時間後自動斷開，減少未經授權的存取風險。
PermitEmptyPasswords No 確保所有使用者帳戶都必須設定密碼。
AllowUsers 可以限制只有特定的使用者可以透過 SSH 登入系統。
使用 Protocol 2 可確保使用最新的 SSH 協定版本，提升安全性。
將預設埠從 22 改為其他埠（如 2025），可以減少自動化掃描工具的發現機率。
重啟 SSH 服務使所有變更生效。

第三方遠端存取解決方案

許多企業選擇使用第三方遠端存取解決方案，這些方案通常採用代理技術，避免直接開放監聽埠，從而降低安全風險。這些解決方案還提供諸如螢幕錄製、多螢幕分享和遠端登入機制等進階功能。

第三方解決方案的優勢

無需開放監聽埠，減少暴露在攻擊者面前的風險。
提供更安全的身分驗證機制，通常與目錄服務（如 Active Directory 或 LDAP）整合。
能夠監控和記錄遠端存取活動，適用於合規性要求高的環境。

社交工程攻擊

社交工程是當前最常見的攻擊手段之一，攻擊者利用心理操控手段誘騙受害者洩露敏感資訊或執行惡意操作。企業應提高員工的安全意識，並採取相應的防範措施。

防範社交工程攻擊的建議

員工教育訓練：定期舉辦資安培訓，提高員工對社交工程攻擊的認識。
多因素驗證：在所有重要的系統和應用程式中啟用多因素驗證，防止憑證被盜用。
安全政策更新：定期檢視和更新資安政策，確保其符合最新的威脅態勢。

圖表說明

@startuml
skinparam backgroundColor #FEFEFE
skinparam defaultTextAlignment center
skinparam rectangleBackgroundColor #F5F5F5
skinparam rectangleBorderColor #333333
skinparam arrowColor #333333

title 圖表說明

rectangle "請求遠端存取" as node1
rectangle "驗證身分" as node2
rectangle "授權成功" as node3
rectangle "建立連線" as node4
rectangle "執行遠端操作" as node5

node1 --> node2
node2 --> node3
node3 --> node4
node4 --> node5

@enduml

此圖示展示了透過第三方代理服務進行遠端存取的流程，強調了身分驗證和工作階段記錄的重要性。

社交工程攻擊：雲端資產的隱形威脅

在現代網路安全威脅中，社交工程攻擊已成為企業和個人無法忽視的重大風險。攻擊者利用人類的信任、好奇和其他心理弱點，誘騙受害者執行惡意操作或洩露敏感資訊。這些攻擊手段不僅限於電子郵件，還包括簡訊、電話和其他形式的通訊。

社交工程攻擊的運作原理

社交工程攻擊的核心在於操縱人類心理，使受害者誤以為攻擊者的請求或訊息是合法的。常見的手法包括偽裝成高階主管（如CEO）或其他值得信賴的人，要求員工執行特定操作，如購買禮品卡或重置密碼。

案例分析：偽裝成CEO的簡訊詐騙

曾有一名員工收到一條自稱是CEO發來的簡訊，要求他為客戶購買禮品卡。員工在回覆簡訊後才意識到這是一個詐騙。此類別攻擊之所以成功，是因為員工對來自「熟悉」來源的請求缺乏警惕性。

社交工程攻擊的心理基礎

社交工程攻擊之所以有效，是因為它利用了人類的一些基本心理特徵，包括：

信任：相信訊息來自值得信賴的來源。
輕信：相信訊息內容的真實性，即使它看起來不合理。
真誠：相信訊息的目的是出於善意。
缺乏警覺性：忽略訊息中的拼寫錯誤、語法錯誤或其他可疑跡象。
好奇心：對未知的攻擊手法缺乏認識，或記得攻擊手法但未採取相應措施。
懶惰：對訊息內容和連結不進行仔細檢查。

防範社交工程攻擊的策略

為了抵禦社交工程攻擊，企業和個人需要採取有效的培訓和自我意識提升措施。以下是一些建議：

驗證請求：對於涉及敏感資訊的請求，需要透過其他通訊管道進行驗證，如電話確認。
瞭解內部政策：清楚瞭解公司對於敏感操作（如授予管理許可權或分享密碼）的內部政策。
警惕異常請求：對於看似荒謬或不尋常的請求，應保持警惕並進行進一步驗證。

雲端環境下的社交工程攻擊

隨著越來越多的企業將業務遷移到雲端，社交工程攻擊也開始針對雲端資產。攻擊者可能會偽裝成雲端服務提供商或公司內部人員，誘騙受害者洩露雲端登入憑證或其他敏感資訊。

案例分析：2021年FBI郵件詐騙事件

2021年，攻擊者入侵了FBI的郵件服務，並利用該服務向大量個人傳送惡意郵件。儘管郵件看似來自值得信賴的來源，但最終被識別為詐騙。

社交工程攻擊：企業資安的隱形威脅

社交工程攻擊是現代網路安全的一大挑戰，尤其在雲端運算的時代中更是如此。攻擊者透過偽裝成信任的來源，如雲端服務提供者，利用人們對公司名稱的信任，而非與其日常互動的人員，來進行詐騙。這類別攻擊難以被技術手段完全阻擋，因為它們利用了人類的心理弱點。

識別與防範社交工程攻擊

要有效防範社交工程攻擊，員工的教育和警覺性是關鍵。以下是一些實用的防範措施：

1. 檢視來路不明的請求

若收到不明來源的請求，務必仔細檢查所有連結，確保它們指向正確的網域。
對於電話請求，切勿提供個人資訊，尤其是當對方主動聯絡你時。
瞭解合法機構的聯絡方式，例如 IRS（美國國稅局）只會透過 USPS（美國郵政服務）進行官方聯絡。

2. 提高警覺，識別可疑信件

留意郵件中的拼寫錯誤、語法錯誤、格式混亂，或是電話中的機器人聲音。
若請求來自從未互動過的來源，更應提高警惕。
若有任何懷疑，應避免點選連結、開啟附件或回覆，直接將可疑信件報告給資訊安全部門。

3. 自制好奇心，避免掉入陷阱

即使自認擁有完善的電腦和公司 IT 安全資源，也不能掉以輕心。
現代攻擊手段可以繞過最佳系統和應用控制，甚至利用原生 OS 命令進行攻擊。
自我剋制是最佳防禦，例如不回應陌生電話中的「Can you hear me?」等問題，不開啟可疑附件。

社交工程在雲端環境中的威脅

在雲端運算環境中，社交工程攻擊的風險更高。因為攻擊者可以輕易偽裝成雲端服務提供者，利用人們對品牌的信任。這使得終端使用者成為最重要的防線。

供應鏈攻擊：雙向風險

近年來，供應鏈攻擊成為一大焦點。成功的資安攻擊不僅影響上游供應商，也可能對下游客戶造成嚴重影響。企業通常會對供應商進行安全評估，但很少對客戶進行類別似的審查。

客戶資料可能帶來的風險

客戶可能持有來自企業的敏感資料，包括：

員工聯絡資訊（姓名、電子郵件、電話號碼等）
銀行資訊（電匯資訊等）
登入企業客戶門戶的憑證
軟體授權金鑰

若客戶的資安防護不佳，其遭受攻擊的風險也可能間接影響企業。因此，供應鏈攻擊是雙向的風險，需要企業全面評估和管理。

供應鏈攻擊的風險與防範

在當今的數位時代，企業面臨著日益增長的供應鏈攻擊風險。這類別攻擊不僅影響企業自身，還可能波及客戶和供應商，形成多米諾效應。供應鏈攻擊的特點在於攻擊者透過滲透供應鏈中的薄弱環節，進而對目標企業進行攻擊。

供應鏈攻擊的型別

供應鏈攻擊可以分為兩種主要型別：上游攻擊和下游攻擊。

上游攻擊：這類別攻擊發生在供應商或合作夥伴的系統被滲透時。攻擊者可能會利用供應商的系統作為跳板，進一步滲透目標企業的系統。例如，攻擊者可能會透過供應商的弱密碼或漏洞進入目標企業的網路。
下游攻擊：這類別攻擊發生在客戶或下游企業的系統被滲透時。攻擊者可能會利用客戶系統中的惡意程式碼或自定義指令碼，將惡意內容傳播給其他客戶或供應商。

供應鏈攻擊的風險

供應鏈攻擊可能導致嚴重的後果，包括但不限於：

資料洩露：攻擊者可能會竊取敏感資料，包括客戶資訊、財務資料和技術機密。
惡意程式碼傳播：惡意程式碼可能會透過供應鏈傳播給多個客戶或供應商，導致廣泛的損害。
商業中斷：供應鏈攻擊可能會導致商業中斷，影響企業的正常營運和聲譽。

防範供應鏈攻擊的措施

為了防範供應鏈攻擊，企業可以採取以下措施：

識別風險：企業應該識別其供應鏈中的潛在風險，包括上游和下游風險。
加強安全措施：企業應該加強其安全措施，包括實施強大的密碼政策、定期進行安全稽核和漏洞掃描。
通知相關人員：當客戶或供應商被攻擊時，企業應該通知相關人員，包括員工和合作夥伴，以防止進一步的損害。
實施傳統的欺詐警示和信用凍結：企業應該考慮實施傳統的欺詐警示和信用凍結，以保護其財務資訊。

雲端攻擊向量

近年來，雲端已經成為供應鏈攻擊的重要目標。攻擊者可能會利用雲端服務中的漏洞或弱密碼進行攻擊。因此，企業需要特別關注雲端安全，採取適當的安全措施來保護其雲端資產。

雲端安全措施

加強雲端安全組態：企業應該加強其雲端安全組態，包括設定強大的密碼、啟用雙因素認證和限制存取許可權。
監控雲端資產：企業應該持續監控其雲端資產，包括檢測異常活動和及時修補漏洞。
選擇安全的雲端服務：企業應該選擇安全的雲端服務，包括評估雲端服務提供商的安全性和合規性。

玄貓 BlackCat

技術愛好者，專注於分享程式開發、雲端技術與 AI 應用的心得體會。