远程桌面防护的几种方式及优缺点分析
远程桌面登录是管理服务器最主要的方式,于是很多不法分子打起了远程桌面的歪心思。他们采用暴力破解或撞库的方式破解系统暗码,悄悄潜入服务器而管理员不自知。同时远程桌面服务中的远程代码实验漏洞也严重威胁着服务器的安全,攻击者可以使用这些漏洞在远程服务器上实验恣意代码,从而完全控礼服务器。这些漏洞通常存在于远程桌面服务的组件中,如Windows远程桌面授权服务(RDL)。
因此对远程桌面登录做安全防护步伐成为了管理员必备的操作。目前远程桌面防护主要有以下几种本领,哪种更好呢,我们来逐步分析。
远程桌面防护的主要方式:
1、 二次身份验证
2、 限定登录时间
3、 限定终端计算机名
4、 限定终端IP和地区
1、二次身份验证
在远程桌面登录的时候,增加一层身份验证。需要输入随机验证码或微信扫码举行授权,然后再输入系统暗码,才能进入服务器。此方法需要用户毗连到远程桌面后才能举行验证,因此端口是对外开放的,无法拦截黑客使用远程代码实验漏洞实施入侵。
https://i-blog.csdnimg.cn/direct/1a948f9b2d5844aab35d7c61e0a99c3d.png
(图一:远程登录二次身份验证)
2、限定登录时间
限定只能在指定时间范围远程登录服务器。护卫神是从防火墙驱动举行限定,非开放时间将无法毗连到远程端口,看起来像远程桌面关闭似的,可以拦截黑客使用远程代码实验漏洞实施入侵。然而在授权时间内,远程桌面对任何人都开放,假如黑客在这段时间入侵,也是可能的。
https://i-blog.csdnimg.cn/direct/f3a3795dd12c4c039201c0ee72645810.png
(图二:远程登录开放时间限定)
3、限定终端计算机名
检查远程终端装备的计算机名,只有计算机名在授权允许内,才允许登录。此方法只对Windows服务器有用,Linux服务器不支持。另外此方法另有两个缺点,计算机名容易伪造;判定机遇较为延后,必须登录服务器后才能举行验证,因此端口是对外开放的,无法拦截黑客使用远程代码实验漏洞实施入侵。
https://i-blog.csdnimg.cn/direct/b84c02df7bfd4837b76778df5cb11922.png
(图三:远程登录计算机名限定)
4、限定终端IP和地区
检查远程终端装备的IP是否在允许范围,允许范围可以是IP、IP段、动态域名,护卫神防入侵系统还支持设置地区(如成都)。护卫神是从防火墙驱动举行限定,非授权终端将无法毗连到远程端口,看起来像远程桌面关闭似的,可以拦截黑客使用远程代码实验漏洞实施入侵。
https://i-blog.csdnimg.cn/direct/bc5a76370bf1493f9ca3423aa61168b7.png
(图四:远程桌面终端IP地区防护)
上述四种方法对比结果如下:
防护类型二次身份验证限定登录时间限定计算机名限定终端IP支持操作系统Windows+LinuxWindows+LinuxWindowsWindows+Linux防护验证时间登录前毗连前登录后毗连前防护远程代码实验漏洞不支持支持不支持支持安全指数★★★★★★★★★★
通过上述对比可以看出,首选“限定终端IP和地区”,纵然限定为一个都会(比方成都),黑客和你同城的可能性非常小,因为黑客一般使用国外跳板机入侵,避免身份袒露。
其次选择“二次身份验证”,但是假如出现了最新的远程代码实验漏洞,那黑客也可以入侵服务器(固然不肯定能远程登录,但能取得服务器管理权限)。
至于限定登录时间和限定终端计算机名,则发起在启用上述两个防护本领的底子上作为加强防护本领举行启用。
同时你也可以开启登录消息通知,进一步提升远程桌面安全,可以使用《护卫神.防入侵系统》的“登录消息通知”实现,通知结果如下:
https://i-blog.csdnimg.cn/direct/25b1fd5bdda442319c09f0ccd72f3c2f.png
(图五:远程登录邮件通知)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]