我们运行一个 Amazon EC2 Windows 实例,最近收到亚马逊的一封电子邮件,警告我们 RDP 对所有人开放,并且存在可能利用这一点的新威胁。
有问题的服务器的安全组允许从任何 IP (0.0.0.0/0) 访问 RDP。我们有多个用户从不同位置在这些服务器上使用 RDP,其中一些服务器使用动态 IP 地址,因此设置允许的 IP 地址列表并不是解决方案。
还有其他解决方案可以阻止访问 RDP 吗?
答案1
首先,该蠕虫实际上并没有利用 RDP 协议中的漏洞,只是利用了弱密码,而且从我从实际负载中看到的情况来看,它尝试的用户名和密码列表非常短且(奇怪地随机)。实施强密码策略将大大减轻此蠕虫及其任何未来变体的威胁。
话虽如此,我建议您在 Windows 服务器角色 > 网络策略和访问服务中设置 VPN(具有预共享密钥或证书的 L2TP/IPSec,具体取决于您想在配置/基础设施上投资多少),然后通过 VPN 会话设置 RDP。
如果您在同一个 NAT 防火墙后面有多个用户,最好设置站点到站点 VPN;这也可以通过网络策略和访问服务来完成。
这比将 RDP 向公众开放要安全得多,并且使用 L2TP/IPSec,您可以使用双因素身份验证(预共享密钥或证书和 Windows 登录)。
答案2
只要您没有将以下列表中的任何密码与用户名组合在一起:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FMorto.A
你应该对我的帐户好