去年秋天，美国联邦调查局（FBI）警告组织，利用远程桌面协议（RDP）漏洞的攻击会增加。攻击者利用未受保护的桌面机窃取敏感数据并破坏网络。与传统的vpn一样，RDP配置通过打开一个洞，使办公企业网络之外的工作成为可能它。开始现在，您可以使用Cloudflare访问通过RDP进行连接，而不会牺牲安全性或性能。访问使您的团队能够像锁定物理桌面一样锁定远程桌面，同时使用SSO凭据对每个连接进行身份验证请求。更强与身份提供者集成的密码FBI称弱密码和对RDP端口的无限制端口访问是导致基于RDP的攻击增加的严重风险。Cloudflare Access通过删除这些漏洞来解决这些漏洞总之。什么时候用户通过RDP连接，他们输入本地密码登录到目标机器。但是，组织很少管理这些凭证。相反，用户可以在用于其他服务的单点登录凭据之外临时设置和保存这些密码。这种监督导致过时、重复使用，最终变得软弱密码。CloudflareAccess与您的团队已使用的身份凭据集成。无论您的组织使用Okta、Azure AD还是其他提供商，在启动任何RDP会话之前，都会提示您的用户使用这些凭据进行身份验证。您的团队可以对RDP连接执行与您对所有关键工具所做的相同的密码强度和轮换要求。需要撤销访问权限吗？您可以在单个位置执行此操作，而不必追查每个远程设备的凭据桌面。关闭其他问题是RDP端口的普遍性。大多数RDP连接监听端口3389。攻击者可以合理地猜测这个数字，并试图通过错误配置或忽略的防火墙规则访问桌面。如果没有这些复杂的规则，远程桌面就会变得像笔记本电脑一样危险街上。云彩Access依靠Argo隧道来锁定任何访问桌面的尝试，从而保护RDP端口和连接。Argo隧道将您的计算机连接到Cloudflare网络，而不需要自定义防火墙或ACL配置。相反，Argo隧道确保到该远程桌面的所有请求都通过Cloudflare路由。一旦进入Cloudflare网络，Access将强制执行锁定远程所需的规则桌面。保护远程桌面要开始，请在需要使用cloudflared保护的计算机上配置Argo隧道。cloudflared充当计算机上的代理，打开从桌面到Cloudflare网络的安全连接。安装后，可以运行以下命令将该连接与Cloudflare帐户中的主机名相关联：$cloudflared tunnel--hostnamerdp.example.com网站--网址rdp://localhost：3389个该命令将创建一个代理，通过端口3389将流量转发给主机名。然后，您可以在Cloudflare的Access选项卡中创建关于谁可以访问此主机名的规则仪表板。连接通过rdp访问Cloudflare后面的桌面，您将需要相同的cloudflared工具。首先，按照下面的说明在您的设备上安装cloudflared。然后可以使用以下命令启动RDP连接：$cloudflaredaccessrdp--hostnamerdp.example.com网站--网址rdp://localhost：3389个运行该命令将通过代理启动RDP连接，以访问配置了Argo隧道的计算机的主机名。cloudflared将打开一个浏览器窗口，您可以在其中使用团队的身份提供者凭据登录。一旦登录，Access将向用户和目标应用程序返回一个令牌，并将其存储在您的设备上。然后可以配置您的客户端本地主机：3389和到达受保护的人桌面。什么下一个？从今天开始，所有Access客户都可以按照本指南开始在Access上使用RDP。每个Cloudflare计划包括五个免费访问席位；请点击此处的链接开始使用。