資安問題 : 請問現在 RDP Port 要怎麼開才安全

windows

我思故我在 2020-09-05 16:00:37 ‧ 5426 瀏覽

分享至

之前前輩跟我說 RDP Port 絕對不要對外,並說 :「見一次我一定罵你一次。」

但沒有對外真的挺不方便的,我知道可以連 VPN 在連內部 RDP
可是這樣跟 RDP 不是一樣嗎? VPN 也是一組對外IP、Key、Account、Password,被破解一樣GG不是嘛? 是難度問題嗎

或者換個說法,現在的RDP一定會被破解,只是時間的問題?

假如是,是否能做到指定網路白名單 IP 才能 RDP? 這樣可以解決上面問題。

以下個人了解情況

爬文1 :
不支持對外原因 :

Windows 10 RDP漏洞可讓駭客綁架連線
行政院資通安全技服中心大規模Windows RDP漏洞掃描行動現蹤
行政院資通安全技服中心微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708)

爬文2 : 可以變更 RDP port 3389 方式 , 並開啟 “Allow connections only from computers running Remote Desktop with Network Level Authentication.”
疑慮 : 不確定是否就安全
xxx

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

黃彥儒

iT邦高手 1 級 ‧ 2020-09-05 17:12:27

最佳解答

因為微軟出錯的機率，應該說攻擊面比較大

那你VPN就算出問題，也還要剛好Windows有漏洞

這就是防禦縱深還亂搞，當然你如果有IP可以白名單，問題就小很多。

回應 3
分享
檢舉

我思故我在 iT邦研究生 2 級 ‧ 2020-09-05 17:15:32 檢舉

感謝黃彥儒大神回答 , 目前爬文非雲端server好像做不到IP可以白名單... 目前繼續爬文中

黃彥儒 iT邦高手 1 級 ‧ 2020-09-05 18:13:49 檢舉

蝦，你Windows沒開防火牆的喔
難怪你見一次你前輩一定被罵一次。

我思故我在 iT邦研究生 2 級 ‧ 2020-09-05 18:44:38 檢舉

有開防火牆,我懂你意思了
在防火牆那邊設定白名單ip

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2020-09-05 22:00:41

以Azure來說，可以用Just-in-time來RDP進VM，或者用Azure bastion host來RDP去特定VM

回應 2
分享
檢舉

CyberSerge iT邦好手 1 級 ‧ 2020-09-05 22:19:35 檢舉

我看錯了，你是問非雲端的做法。其實像前輩說的你可能要了解一下「防禦縱深」Defense in depth的概念。至於白名單IP，可以把server VLAN獨立起來，在switch上用ACL限制。

一定會被破解,只是時間的問題?

如果有良好的安全營運監控，初步嘗試要破解時，只要偵測到就可以加以處理。

我思故我在 iT邦研究生 2 級 ‧ 2020-09-05 22:54:17 檢舉

感謝大神分享

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22202 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙