9月27日，美国网络犯罪举报中心（Internet Crime Complaint Center，IC3）联合美国国土安全部（DHS）、FBI发布了关于通过Windows Remote Desktop Protocol (RDP)实施攻击的预警。与RDP相关的攻击主要是勒索软件，攻击者黑进暴露RDP服务的设备进行数据窃取、后门安装和其他攻击活动。

US-Cert的预警信息中称：

随着暗网中出售RDP Access的数量越来越多，RDP这样的远程管理工具从2016年成为一种攻击面，攻击者已经开发出许多识别和利用有漏洞的RDP session来窃取登陆凭证并勒索其他用户敏感信息。

FBI和DHS建议：

企业和个人用户要了解远程访问对企业网络和个人用户带来的潜在威胁，并采取措施来减少被入侵的可能性，比如可以选择关闭RDP。

去年，xDedic黑市犯罪交易市场出售的被黑的远程桌面服务账号每个服务器只有6美元。犯罪交易市场上出售的RDP账户数量还在不断增长。

联网设备搜索引擎Shodan.io的数据显示超过200万运行远程桌面的计算机直接连接到互联网。这些服务器随时都有被黑的可能。

CrySiS/Dharma, SamSam, BitPaymer, CryptON这些勒索软件也都是通过黑进开启远程桌面的服务器来入侵整个网络的。因为勒索软件解密1台计算机的赎金要求是3到5千美元，解密整个网络的赎金高达5万美元，因此攻击者非常热衷。

因此，对于使用RDP的企业来说，保护RDP服务非常重要。

保护远程桌面服务器

使用远程桌面服务是企业的整体资源，所以不能说不允许用。但如果使用RDP，那么就应该对其进行保护。

下面是保护远程桌面服务器被黑的几个步骤：

不要将RDP服务器直接联网

RDP服务器应该防止在VPN或防火墙之后，只有授权的用户才可以访问。这样攻击者找出服务器并进行暴力破解攻击就会更难。

还可以将RDP的TCP端口从默认的3389改为其他非标准的端口。这也是一种保护的方式。

强密码和多因子认证

攻击者在实施远程桌面攻击时会同时进行暴力破解攻击，因此所有用户使用强密码和复杂密码都是比较重要的。这可以通过Windows中的强密码策略实现。

多因子认证也是一种很好的保护方式，企业可以在域名登陆时添加多因子认证。

开启账户锁定策略

暴力破解攻击是尝试用不同的密码来登陆某个特定账户，账户锁定策略是账户在特定的登陆失败次数后不能登陆。因此暴力破解攻击一般都可以用账户锁定策略避免。

开启账户登陆审计

开启账户审计策略后，管理员可以查看哪些账户有多次失败登陆尝试。这样，管理员就可以发现哪些账户可能是攻击的目标。

安装安全更新

最后也是最重要的就是安全更新了。对企业来说，虽然很难进行及时的安全更新，但也应该尽可能早的进行更新。

其他保护措施

FBI和DHS推荐了一些预防基于RDP攻击的最佳实践：

· 对使用RDP远程通信的系统进行网络审计。

· 对系统和数据进行备份。

· 保留RDP登陆日志至少90天，并定期对日志进行入侵审查。

· 在创建基于云的虚拟机实例时，遵守云服务提供商的远程访问最佳实践。

· 确保需要RDP访问的第三方遵循远程访问的内部策略。

· 将所有控制系统设备的网络暴露降到最小。关键设备不要开启RDP服务。

· 管理和限制外部到内部的RDP连接。外部访问内部资源时，要使用VPN这种安全的方法。