我们运行Amazon EC2 Windows实例,最近收到亚马逊的一封电子邮件,警告我们RDP对所有人都是开放的,并且存在一个新的威胁,可能会利用这个威胁。
有问题的服务器的安全组允许从任何IP(0.0.0.0/0)访问RDP。 我们有多个人在这些服务器上使用RDP,这些服务器有些是dynamicIP地址,所以设置一个允许的IP地址列表并不是一个解决scheme。
是否有另一种解决scheme来阻止访问RDP?
首先,蠕虫实际上并没有利用RDP协议中的漏洞,只是弱密码,从我看到的实际有效载荷是它是一个非常短的(奇怪的随机)用户名和密码列表尝试。 有一个强有力的密码政策生效将大大减轻这种蠕虫和任何未来的变种。
话虽如此,我build议您在Windows Serverangular色>networking策略和访问服务中安装VPN(具有预共享密钥或证书的L2TP / IPSec,具体取决于您要在configuration/基础设施中投入多less资金),然后再安装RDP跨越VPN会话。
如果在同一个NAT防火墙后面有多个用户,最好设置一个Site-to-Site VPN; 这也可以通过networking策略和访问服务完成。
这比将RDP公开给公众更安全,而且使用L2TP / IPSec,则使用双因素身份validation(预共享密钥或证书和Windowslogin)。
只要您没有任何密码与此列表中find的用户名相结合:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FMorto.A
你应该好我的帐户