将终端服务安全层切换为RDP安全层的风险与注意

很多组织在追求兼容性时，会把终端服务的安全层从基于CredSSP的TLS层直接降级为RDP安全层，表面看似简化配置，却暗藏多重风险。

风险剖析

RDP安全层本质上依赖 NTLM 进行身份验证，而 NTLM 已被证实在中间人攻击中容易泄露哈希值。2022 年微软安全报告显示，使用 RDP 安全层的环境中约有 27% 的案例出现未授权横向移动，攻击者仅凭捕获的 NTLM 哈希即可尝试冒充合法用户。

• 凭证泄露：NTLM 哈希在未加密通道中传输，易被嗅探。
• 协议兼容性陷阱：部分旧版客户端不支持最新的 CredSSP，切换后可能导致强制降级攻击。
• 端口冲突：RDP 安全层默认占用 3389 端口，若其他服务误占该端口，系统会把 svchost.exe 替换为第三方进程，增加潜在后门。

实战案例

某金融公司在一次内部审计中，发现生产环境的服务器将安全层切换为 RDP 安全层后，3389 端口被一款日志收集工具占用。攻击者利用该进程的低权限执行 net use 命令，成功获取了系统管理员的 NTLM 哈希，并在数小时内横向渗透至核心交易系统。事后分析指出，若坚持使用 TLS 安全层，凭证将通过加密通道传输，攻击链即被截断。

防护要点

在决定切换前，建议完成以下检查：
1) 确认所有客户端均支持最新的 CredSSP；
2) 使用网络监控工具验证 3389 端口仅由 svchost.exe（PID 对应的系统服务）监听；
3) 部署多因素认证，降低单一凭证被盗的危害；
4) 定期审计 RDP 日志，捕获异常登录模式。

“安全层的每一次降级，都可能是攻击者的加速器。”——内部安全团队报告