远程桌面协议是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下，该协议的客户端代理内置在微软的操作系统中，但也可以安装在非微软操作系统中，例如苹果的操作系统、不同版本的Linux，甚至还可以安装在移动操作系统中，例如Android。

    RDP的服务器端安装在微软操作系统上，从客户端代理接收请求，显示发布应用程序的图，或者远程访问系统本身。在默认情况下，系统在端口3389来监听来自客户端的通过RDP的连接请求。

    通常情况下，RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问，或者发布用于中央使用的应用程序。该协议还常被桌面管理员用来远程访问用户系统，以协助排除故障。如果RDP没有正确配置的话，这种特定功能将会给企业带来威胁，因为未授权访问者将可以访问关键企业系统。

    近日，知名网络安全专家Dan Kaminsky表示，RDP目前正用于500多万个互联网端点中，可以想象，如果企业没有妥善保护RDP，网络和端点安全将受到严重威胁。那要如何保护RDP，抵御恶意使用RDP呢？

    以下是保护RDP的一些方法：

    确认在客户端和服务器之间使用了128位加密；128位加密允许使用更强大的不太容易被破解的密钥。在默认情况下，RDP连接会尝试使用128位加密，但如果它不能使用128位加密的话，客户端很可能会回到64位加密。为了确保系统不会回落到较低级别的加密，管理员可以将组策略对象（GPO）配置为符合各自标准的加密级别。我们建议大家启用“高级”加密。使用GPO来强制执行密码政策，要求在域中使用一定长度的密码，并设置锁定政策以防止攻击者暴力破解入侵服务器。

    如果访问系统需要通过外部网络，不应该开放端口让任何人都可以滥用，我们建议将VPN配置为返回网络，然后使用RDP。更好的办法是创建一个远程桌面网关，允许通过HTTPS和RDP的远程连接来创建一个更安全的加密连接来连接端点。这两种方法都建议保持外围网络RDP端口3389的开放。在外围网络或者操作系统使用防火墙来过滤入站请求，只允许经批准的来源和目的地通过RDP连接，可以限制能够连接到这些服务器的用户。如果某个特定群体的人只能连接到特定服务器组，围绕这些请求来修改防火墙规则将有助于控制访问权限。

    通过使用较新版本的windows操作系统，在建立对RDP主机服务器的连接之前，管理员可以启用网络级身份验证（NLA）作为身附加的份验证。这使身份验证从系统脱离出来，占用更少的资源。这还有助于减少潜在通过暴力破解实施的拒绝服务（DoS）攻击。NLA作为一个缓冲区，防止攻击者使用访问请求来阻塞RDP主机服务器。

    在默认情况下，RDP主机系统在3389端口监听来自RDP客户端的连接请求。我们可以改变RDP服务的这个监听端口，以防止恶意软件或者攻击者通过扫描系统来找寻端口3389的RDP，从而保护网络安全。然而，这种“模糊安全”方法可能会导致错误和疏忽。你可以改变端口，但是你需要一个很好的理由。

    确定谁能够建立到服务器的RDP连接。考虑将RDP访问限制到特定群体（通过组策略或者对目标计算机手动操作），而不是对所有人开放，限制访问权限。同时，我们建议将本地管理员账户从RDP访问删除，所有用户的账户都应该提前在系统中进行明确定义。

    确保所有运行RDP的系统都安装了最新的修复补丁。

    抵御恶意使用RDP

    上述方法可以帮助企业保护在企业中使用RDP。现在，让我们看看企业应该如何验证RDP有没有被使用，以保护企业免受RDP恶意使用或者未经授权的安装。

    在网络内部和外部运行漏洞或端口扫描，可以帮助确认是否有任何系统在监听RDP连接。在内部运行这种扫描，可以确认哪些系统在运行RDP，然后由企业的团队来确实他们是否应该运行这些软件。从外部网络的角度来看，如果扫描结果显示RDP监听来自外部，IT团队必须尽快采取行动。很多漏洞扫描器发现RDP在非标准端口运行，这可以帮助企业找出试图偷偷RDP安装的人。

    使用日志记录或者安全事故和事件管理（SIEM）系统来确定哪些设备正在监听和接收RDP会话，这可以让你了解网络中正在发生何种类型的RDP连接。某些系统是否出现多次失败登录？其他系统是否在接受不应该接受的连接？

    最后，确保系统没有不恰当使用RDP的最好方法是：定义一个组策略，只允许经批准的系统来运行RDP。

    总而言之，RDP是一个伟大的工具，管理员和用户可以从一个中央位置使用RDP来建立对系统的多个连接。管理员还可以将RDP用于远程系统管理，但是和其他系统一样，如果连接和软件不安全的话，企业可能面临风险。了解RDP如何运作，为什么要使用RDP以及如何保护RDP安全，能够帮助管理员更好地保护其系统。

    链接：服务器安全狗远程桌面保护功能

    服务器安全狗是服务器安全防护软件，功能涵盖了服务器系统优化、服务器漏洞补丁修复、服务器程序守护、远程桌面监控、文件目录守护、系统帐号监控、DDOS防火墙、ARP防火墙、安全策略设置以及邮件实时告警等多方面模块，为用户的服务器在运营过程中提供完善的保护，使其免受恶意的攻击、破坏。

    其中的远程桌面监控功能，可以为服务器提供实时、主动的远程桌面登录保护，只允许白名单的客户端和IP地址登录服务器远程桌面，非白名单客户端一概拦截，确保服务器远程桌面不被非法登录，有效防止黑客登录服务器远程桌面。

    远程桌面守护针对多种类型的主流远程控制软件，包括操作系统自带的远程桌面登录工具、RealVnc、Redmin、Netman等都可以有效实现守护功能。同时，远程桌面守护还可以帮助用户避免因为安全策略端口保护规则设置不当引起的远程登录被禁止问题。

    详情了解：http://www.safedog.cn/showProduct.do?pid=2