我一直在评估这用于保护我们云服务器的 RDP 连接的软件。
问题是,它要求您使用 RDP 加密,而不需要 TLS。这是因为使用 TLS 时不会记录 IP 地址。
当选择 RDP 加密时,登录屏幕会显示连接后可以立即登录的帐户。当选择 TLS 时,您必须在连接前在对话框中输入帐户名和密码。
在我看来,将加密设置为 RDP 会泄露您的用户名,而 TLS 不会(或者我遗漏了什么)?
缺少 SSL 并显示登录屏幕是否值得记录 IP 地址并阻止它们?
答案1
不... 本机 RDP 加密本身并不是那么糟糕,但它远不如 TLS 好。
最近发现的远程桌面严重安全漏洞仅影响那些允许你在提供凭证之前查看 GINA 的旧版本。这些漏洞并没有不是影响已通过 TLS 正确保护的 RDP 服务器。
在我看来,在 2013 年使用没有 TLS/SSL 的 RDP 是不可接受的。尤其在互联网场景中。
不仅如此,没有 TLS 的 RDP 也越来越不能被安全审计员接受。