HKCert
保安指南

遠端桌面連線最佳行事指引 (給企業系統管理員)

發布日期: 05 / 12 / 2018
最後更新: 05 / 12 / 2018

遠端桌面連線是一個常用的遠端電腦控制工具,但錯誤配置的遠端桌面連線是高風險的。例子包括﹕使用弱密碼保護對互聯網開放的遠端桌面連線和與技術支援服務供應商共用遠端桌面連線密碼。這些風險可引致伺服器被入侵,甚至感染加密勒索軟件。為應付不停演變的網絡保安風險,企業必須有效保護遠端桌面連線。

 

甲﹕最佳行事指引

  1. 停用遠端桌面連線 (如非必要)
  2. 設定帳戶鎖定原則
  3. 設定密碼原則 (密碼的複雜性、長度、壽命及歷史)
  4. 限制IP存取遠端桌面連線
  5. 改用非預設的服務埠作遠端桌面連線
  6. 應用最少權限原則限制可進行遠端桌面連線的帳戶
  7. 使用雙重認證的VPN 方案來保護遠端桌面連線

 

乙﹕詳細步驟 (部份只有英文版本)

 

先決條件

  1. 企業系統管理員應具備伺服器視窗之管理知識,例如﹕配置群組原則、配置防火牆等。
  2. 企業系統管理員應先全面檢視其企業的環境及要求,才實施這些最佳行事指引。部份指引可能不完全適用於你的企業的環境,例如﹕遠端桌面連線必需於特定伺服器上啓用,故停用遠端桌面連線是不適用於整個網域。
  3. 實施這些最佳行事指引必需使用管理員權限。
  4. 請小心留意,若錯誤配置可帶來負面影響,例如﹕服務受阻或保安限制失敗。請小心留意相關風險,並建議先於測試平台作詳細測試。

 

  1. 停用遠端桌面連線 (如非必要)
  2. 以群組原則配置﹕

    Computer Configuration-> Policies-> Administrative Templates-> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections -> Allow users to connect remotely by using Remote Desktop Services

  3. 設定帳戶鎖定原則,以防止針對密碼的暴力破解攻擊。
  4. 以群組原則配置﹕

    Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Account lockout threshold

  5. 設定密碼原則,以減低暴力破解密碼攻擊的風險。
  6. 以群組原則配置﹕

    Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Password Policy->Password must meet complexity requirements

  7. 設定密碼原則,以減低暴力破解密碼攻擊的風險。
  8. 以群組原則配置﹕

    Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Password Policy->Minimum password length

  9. 設定密碼原則,以確保密碼定期被更改。
  10. 以群組原則配置﹕

    Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Password Policy->Maximum password age

  11. 設定密碼原則,以防止重用近期曾經使用的密碼。
  12. 以群組原則配置﹕

    Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Password Policy->Enforce password history

  13. 限制IP存取遠端桌面連線﹕ 配置防火牆,只批准特定IP作遠端桌面連線。
  14. 以「具有進階安全性的Windows 防火牆」配置 ﹕

    Remote Desktop - User Mode (TCP-In)

    假設此防火牆規則為「允許」,指定你批准作遠端桌面連線的IP。於此例子,192.168.1.100 和 1.1.1.1 是你批准作遠端桌面連線的IP。

  15. 改用非預設的服務埠作遠端桌面連線﹕配置遠端桌面連線的服務埠
  16. 以「登錄編輯程式」配置﹕

    執行 「regedit」>

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber > 滑鼠右鍵及選擇更改> 選擇十進制> 你應該可以看見數值為 "3389", 以後你可更改此數值去其他服務埠,例如﹕23389,最後按確定。

     

    提示﹕你應該先為新的服務埠配置防火牆規則 (例如﹕視窗防火牆),讓使用者可於新配置生效後成功透過新的服務埠使用遠端桌面連線。新配置將於重新啓動電腦後生效。以下例子演示如何透過23389服務埠作遠端桌面連線。

     

    於實施這些最佳行事指引後,企業可減低遠端桌面連線相關的風險。香港電腦保安事故協調中心建議企業可考慮採用最少權限原則限制可進行遠端桌面連線的帳戶,及使用雙重認證或VPN 方案來保護遠端桌面連線,以進一步保護你的遠端桌面連線。