You are currently viewing 從Windows 11看歷史 – 遠端桌面暴力破解

從Windows 11看歷史 – 遠端桌面暴力破解

 Windows11 預設將Account Lockout Policy啟用,提升了遠端桌面(RDP)暴力破解的困難度,如此就夠了嗎? 企業做資安應該注意的事…

         Windows11 22H2 於版本22528.1000中把帳號鎖定原則列為預設值,藉此降低遠端桌面相關暴力破解的攻擊,當帳號鎖定原則成為預設值後,只要有人在10分鐘內出現10次的登入錯誤,該帳號就會遭到鎖定! 以此方式提升暴力破解的難度。你知道嗎? 勒索軟體入侵企業首選的方式就是透過遠端桌面(RDP),有超過七成的勒索攻擊行動都是透過RDP,原因很簡單,只要密碼被破解,就可以直達企業內部主機進行攻擊部屬,可能的攻擊有勒索攻擊資料竊取、外洩,還有延伸的BEC詐騙等等。

       為了方便管理,企業選擇共用同一個服務時,不論是ERP或是Office軟體等,首選方案就會想到遠端桌面(Remote Desktop),遠端桌面的特性得以讓企業使用者可以使用同一台主機進行操作,不用額外在個人電腦上安裝軟體,這對於員工人數眾多的企業來說是一個很方便的工具,而遠端桌面也是企業IT人員常用工具,不用跑到機房就可以從自己的電腦控制主機進行操作,彈性度極高。

     當遠端桌面對外開放時(開PORT),意指員工得以從公司外部只要有一台可以上網的電腦就可以輕鬆連回企業進行辦公,而服務對外暴露的同時也會引來駭客進行暴力破解密碼的行為,力圖攻進企業內部執行惡意行為,鼎新於服務客戶的經驗中看到很多開啟遠端桌面服務的主機在事件檢視器安全性中出現極為大量的安全性警告,無非都是進行帳號破解的行為,而一旦被盯上即便更改對外PORT號再被攻擊也是遲早的事。

         Windows此次將帳號鎖定原則設定為預設後就可以完全避免被帳號暴力破解了嗎? 答案是否定的,帳號鎖定原則即便設定的再嚴格,只是”提升”了攻破的難度,但是駭客的攻擊若如洪水般襲來,若是他們加大了攻擊的力度,被破解也只是時間早晚的差異,故系統維護商還是不建議企業將遠端桌面對外開放,但企業若非得要使用也不是不行,須額外設定限制來源,或是透過VPN方式來降低資安風險,盡可能的避免將服務對外讓人得以隨時攻打。

     除了遠端桌面(RDP),企業還可以選擇虛擬桌面(VDI),虛擬桌面會先設定好作業系統和應用程式,且桌面環境和存取該環境的實體裝置各自獨立,使用者可搭配任何裝置進行操作,彈性高,終端機器無須具備相同等級的效能也可以擁有相同的操作體驗,資料也是存儲於資料中心內,故資料安全性相對來的更高。

         企業在規劃資安的過程一定會希望在提高安全性同時效能也能夠有提升,因為提效這件事是顯而易見的,而提升安全性卻只有在問題發生的時候才會體現它的效果,在預算有限之下,規劃時有這麼顯著的差異時依企業角度一定會優先選擇能夠幫助提升產能的方案,實際上提效的同時提升安全性的方案也不非不存在,而是取決於企業作業流程,每間企業無法直接套用別人的成功案例,勢必都要先了解企業自身需求才能客製符合的解決方案!

         鼎新電腦數位科技擁有多種解決方案,助力企業數位轉型的同時也關注企業的資訊安全,讓企業得以提升效率、提高產能並確保資訊安全,得以永續經營! 若有任何疑問歡迎與我們聯繫,我們將為您竭誠服務。