RDP (Protokol Desktop Jauh) adalah perkara yang mudah. Beberapa klik dan anda sudah berada di persekitaran kerja anda, duduk di rumah pada komputer riba anda atau pun pada telefon anda di kedai kopi. Tetapi ada satu "tetapi": RDP juga merupakan sasaran kegemaran penyerang. Penggodam sentiasa mengimbas rangkaian untuk mencari port RDP terbuka, memecahkan kata laluan dan mengambil kunci. Jika anda tidak menjaga keselamatan, "desktop jauh" anda bertukar menjadi "pintu terbuka untuk semua orang."
Berita baiknya ialah: terdapat beberapa tweak mudah tetapi berkesan yang akan menjadikan sistem anda lebih stabil. Mari kita lihat mereka satu persatu.
Kata laluan bukan "123456"
Kedengarannya remeh, tetapi di sinilah kebanyakan penggodaman bermula. Kata laluan seperti qwerty, pentadbir atau kata laluan1 adalah anugerah untuk bot. Mereka menyemak pilihan ini terlebih dahulu.
Peraturannya mudah: sekurang-kurangnya 12 aksara, gabungan huruf, nombor dan simbol. Lebih baik lagi, gunakan pengurus kata laluan untuk menyelamatkan diri anda daripada kerumitan. Penjana kata laluan boleh membantu anda membuat kombinasi yang kuat dengan mudah.
Contohnya: pada tahun 2023, sebuah syarikat di AS kehilangan kawalan ke atas pelayannya hanya kerana pentadbir sistem meninggalkan kata laluan Welcome2022. Penggodam memuat turun pangkalan data pelanggan dalam masa dua jam. Dan ini bukan syarikat kecil, tetapi perkhidmatan dengan 200,000 pengguna.
Pengesahan dua faktor (2FA)
Walaupun kata laluan anda dicuri atau diteka oleh bot, pengesahan kedua akan menjimatkan hari. Ini boleh menjadi kod OTP daripada Google Authenticator, SMS atau pemberitahuan tolak.
Dalam Pelayan Windows, anda boleh menyambungkan penyelesaian 2FA tambahan, dan ia benar-benar berfungsi. Ya, kadangkala ia menyusahkan - tetapi fikirkanlah: apakah yang lebih baik, menghabiskan 20 saat untuk kod atau kehilangan pangkalan pelanggan anda dan perlu membina semula reputasi anda selama bertahun-tahun?
Tukar port dan hadkan akses
Secara lalai, RDP terletak pada port 3389. Dan port inilah yang beribu-ribu bot "menembak" di. Menukar port adalah masalah kecil tetapi menjengkelkan.
Lebih baik lagi ialah membuka akses hanya kepada IP tertentu. Sebagai contoh, anda hanya boleh log masuk dari pejabat atau melalui VPN. Ya, ia agak menyusahkan, tetapi penggodam dari Bangladesh tidak akan dapat "mengetuk" pada pelayan anda, walaupun secara teori.
Analoginya adalah seperti berikut: mari kita bayangkan bahawa kita perlu bergerak dari tingkat satu dengan tingkap terbuka ke tingkat dua puluh dengan interkom. Adakah mungkin untuk memanjat ke kediaman sedemikian? Secara teorinya, ya. Tetapi peluangnya berkali-kali lebih kecil.
Gunakan penyulitan dan jangan lupa untuk mengemas kini
RDP mempunyai ciri yang dipanggil Pengesahan Tahap Rangkaian (NLA). Ia menambah pengesahan sebelum sesi ditubuhkan. Jika anda mempunyai NLA dilumpuhkan, ia seperti membiarkan pintu terbuka.
Dan yang kedua ialah kemas kini Windows. Banyak kelemahan RDP telah ditutup melalui kemas kini. Kehilangan tampalan membuka pintu kepada penggodam.
Contoh yang menarik ialah serangan BlueKeep pada 2019, yang merebak tepat melalui pelayan Windows lama yang tidak dikemas kini. Kerentanan membenarkan pengambilalihan sepenuhnya mesin tanpa kata laluan. Dan rasa apa? Beribu-ribu syarikat tidak mengemas kini sistem mereka.
Log dan pemantauan — kotak hitam anda
Tiada jumlah kata laluan atau 2FA akan menjimatkan anda jika anda tidak tahu apa yang berlaku dalam sistem. Semak:
siapa yang log masuk dan dari mana IP;
Adakah terdapat beratus-ratus percubaan log masuk yang gagal?
Adakah terdapat sebarang sesi pelik pada waktu malam ketika semua orang sedang tidur?
Terdapat Windows Event Viewer untuk ini, tetapi lebih baik untuk menyambungkan perkhidmatan pemantauan luaran. Mereka akan memberitahu anda dengan segera, bukan apabila sudah terlambat.
Beberapa mitos biasa tentang RDP
"Saya tidak akan digodam, saya kecil." Bot sebenarnya tidak peduli siapa anda. Mereka hanya mengimbas alamat IP dan menyerang semuanya berturut-turut.
"VPN sudah memadai." VPN bagus, tetapi jika kata laluan RDP lemah, ia tidak akan menyelamatkan anda.
"Lelaki IT kami mengawal segala-galanya." Ya. Dia sedang bercuti sekarang, dan tiada tampalan pada pelayan.
RDP dalam tindakan sebenar
Pada 2021, sebuah syarikat logistik Ukraine telah "diletakkan" selama seminggu. Sebabnya ialah RDP terbuka tanpa sekatan. Kerja dipulihkan dalam 10 hari.
Seorang pekerja bebas Fiverr mengakui bahawa akaunnya digodam selepas pelayan RDP tempat dia menyimpan projeknya telah terjejas. Kata laluan ialah admin123. Pelanggan pergi, profil telah diharamkan.
Ini bukan cerita seram - ia adalah amalan harian.
Untuk meringkaskan
RDP bukanlah kemewahan, tetapi alat yang tanpanya sukar untuk dibayangkan bekerja dari jauh. Tetapi jika anda tidak menjaga tetapan asas, alat ini akan menentang anda.
Kata laluan yang kukuh, 2FA, port bukan standard, penapisan IP, penyulitan dan kemas kini, serta pemantauan — ini ialah senarai semak minimum anda.
Dan jika anda menggunakan Windows VDS daripada Hyperhost , maka anda sudah mendapat sebahagian daripada "pakej keselamatan" ini secara lalai: pusat data, SSD tahan kesalahan, saluran selamat. Selebihnya bergantung pada anda. Kerana pada tahun 2025, "digodam melalui RDP" kedengaran bukan seperti berita, tetapi seperti diagnosis: "tidak mengkonfigurasi perkara asas."
