雲端安全威脅與防禦策略剖析

DNS 攻擊是雲端安全的重要威脅，攻擊者可能利用 DNS 伺服器的漏洞，將使用者導向惡意網站，竊取敏感資訊。勒索軟體攻擊也日益猖獗，攻擊者加密受害者的資料並勒索贖金。網路網路釣魚攻擊則利用各種管道誘騙使用者洩露憑證或下載惡意軟體。此外，橫向移動攻擊讓攻擊者在入侵系統後，可以擴大控制範圍，竊取更多資源和敏感資料。面對這些威脅，企業需要採取多層次的防禦策略，包括實施最小許可權原則、特權存取管理、零信任模型等，並加強員工的安全意識教育，才能有效降低風險，保護雲端資產安全。

DNS攻擊：雲端安全的重要威脅

在網路技術的發展歷程中，DNS（Domain Name System）扮演著至關重要的角色。早期的「hosts」檔案曾被用來查詢網域名稱，但隨著DNS的普及，這種方法逐漸被淘汰。DNS使用文字檔案儲存查詢表格，但現今大多數DNS實作都維護動態查詢表格，以支援Active Directory和LDAP等目錄系統。

DNS的重要性與常見問題

DNS是網路運作的關鍵技術，但也因其複雜性而常被誤解。許多網路問題往往源於DNS組態錯誤，因此確保DNS的正確組態至關重要。在雲端環境中，DNS的重要性依然不變，正確組態DNS是保障雲端安全的基礎。

DNS攻擊的威脅

由於DNS負責將網域名稱轉換為IP地址，因此成為攻擊者的目標。一個安全性不足的DNS伺服器可能被利用來修改查詢表格，將使用者導向惡意的網站，這種攻擊稱為DNS快取投毒（DNS Poisoning）。此外，攻擊者還可能透過劫持網域名稱註冊帳戶或修改本地DNS伺服器來實作惡意目的。

DNS攻擊的具體方式

1. DNS快取投毒：攻擊者可能透過修改DNS查詢表格，將使用者導向惡意網站。
2. 網域名稱劫持：攻擊者若能存取網域名稱註冊帳戶，則可修改授權DNS伺服器的設定。
3. 本地DNS伺服器修改：攻擊者可能在本地基礎設施中修改DNS伺服器的設定，將連線導向惡意網站。

勒索軟體的威脅

近年來，勒索軟體（Ransomware）已成為一個日益嚴重的威脅。它不僅能感染工作站和伺服器，也能攻擊雲端資源和虛擬機器。勒索軟體即服務（RaaS）的出現，使得任何人都能輕易發動勒索軟體攻擊，從而造成重大的經濟損失和生命威脅。

勒索軟體的特點與防範

1. 勒索軟體的運作方式：勒索軟體是一種惡意軟體，攻擊者用來加密檔案和資料，要求受害者支付贖金。
2. RaaS的影響：RaaS使得非技術人員也能發動勒索軟體攻擊，從而增加了攻擊的頻率和範圍。
3. 防範措施：組織應加強對勒索軟體的防範，包括定期備份資料、加強網路安全措施等。

防範勒索軟體攻擊的雲端安全策略

隨著勒索軟體攻擊日益頻繁，企業必須採取有效的措施來保護其雲端資源。以下是一些建議，幫助企業顯著提高其抵禦潛在勒索軟體攻擊的能力。

1. 安全的遠端存取

遠端存取，尤其是第三方供應商的存取，往往是網路安全中最薄弱的環節。許多因素導致第三方存取難以確保安全。獲得授權存取網路和應用程式的供應商可能不遵循與企業相同的資安規範。他們可能使用弱密碼或預設密碼，或者在多個使用者或第三方供應商之間共用一套憑證。

根據Group-IB的報告，2020年52%的勒索軟體攻擊與公開可存取的RDP伺服器相關。另一個危險的做法是使用虛擬私人網路（VPN）為供應商提供「安全」的存取。威脅行為者經常針對VPN技術中的漏洞或組態錯誤，以破壞供應鏈並竊取敏感的公司資料。VPN通常提供廣泛、往往過度的網路資源存取。這不僅創造了潛在的惡意活動表面，也讓合法的第三方使用者存取遠超過他們真正需要的應用程式。

企業可以透過消除對供應商的「全有或全無」遠端存取來控制遠端存取，這意味著放棄那些VPN，尤其是當VPN軟體和憑證提供給第三方在他們自己的系統上使用時。這改變了要求所有連線都透過單一存取路徑進行代理的正規化，轉而採用更新的模式。現在，取代執行協定隧道或使用存取控制列表（ACL）來限制網路段，而是根據身分層級授予特定資源和應用程式的角色型存取，而不是網路或主機。這通常被稱為供應商特權存取管理（VPAM）。供應商或內部使用者只應被允許在特定的分配時間記憶體取特定的資源和應用程式。

內容解密：

此圖示說明瞭如何透過實施供應商特權存取管理（VPAM）和角色型存取控制來提高遠端存取的安全性。這種方法可以限制使用者對特定資源和應用程式的存取，從而減少潛在的安全風險。

2. 管理特權密碼

被破壞的憑證是幾乎所有IT安全事件的已知因素，勒索軟體也不例外。要執行，勒索軟體需要特權。這是勒索軟體持續存在的重要途徑。因此，使用企業特權密碼管理解決方案來保護特權憑證至關重要，該解決方案將持續發現、註冊、管理、輪換和稽核這些強大的憑證。憑證的自動輪換和強密碼政策的一致執行保護企業免受密碼重複使用攻擊和其他密碼利用。

3. 實施最小許可權原則

正如G. Mark Hardy，CISSP，CISA執行長，National Security Corporation所指出的，「勒索軟體並非魔法 – 它只能以啟動它的使用者或應用程式的許可權執行。這就是它的弱點，也是我們在它開始之前利用工具遏制它的機會。」移除本地管理員許可權並在所有使用者、應用程式和系統中實施最小許可權存取，不會阻止每一次勒索軟體攻擊 – 但它將阻止絕大多數。它還將透過關閉橫向移動途徑和減少提升許可權的能力來減輕那些進入環境的勒索軟體的有效負載的影響。最小許可權甚至可以減輕被盜憑證的影響。如果憑證屬於具有有限或沒有許可權/特權存取的使用者、終端或應用程式，那麼損害也可能會減少。

4. 實施補丁管理

當然，減少勒索軟體和其他根據漏洞的利用的最基本方法之一就是保持與已知、已發布漏洞的補丁和修復同步。這縮小了攻擊面，減少了攻擊者在您的環境中可用的潛在立足點。過去，重大勒索軟體攻擊被歸咎於未修補的漏洞被利用。如果您正在尋找詳細資訊，請考慮WannaCry和NotPetya。很少有勒索軟體攻擊利用雲端中的零日漏洞直接針對雲端（迄今為止，Web服務是最常見的）。如果您有效地進行補丁管理，這是一個好訊息，也是針對與雲端直接相關的最常見勒索軟體攻擊的最佳緩解措施。

最終目標是防止勒索軟體直接存取您的雲端環境。不幸的是，這通常從終端開始，以橫向移動結束，最終會破壞整個環境。這凸顯了從攻擊鏈的角度思考並在兩個方向上遵循攻擊向量以瞭解您的安全控制措施的起點和終點的重要性。

加密貨幣挖礦攻擊：雲端安全的隱形威脅

加密貨幣挖礦攻擊是一種新興的攻擊方式，駭客利用受害者的資源和資產進行挖礦，從中取得利益，而受害者往往渾然不知。這種攻擊方式與傳統的破壞性攻擊不同，其目的不在於破壞系統，而是利用系統資源取得經濟利益。

加密貨幣挖礦攻擊的原理

加密貨幣挖礦需要大量的計算資源和能源，駭客透過攻擊雲端資源和網際網路上的其他資源，植入惡意軟體進行挖礦，以降低自己的硬體和電費成本。這種攻擊方式不僅消耗了受害者的寶貴資源，也可能使受害者面臨未來更多的攻擊。

加密貨幣挖礦攻擊的偵測與防範

要偵測和防範加密貨幣挖礦攻擊，可以考慮以下幾點：

監控處理效能

加密貨幣挖礦是資源密集型的運算。監控異常的CPU效能，尤其是不明或未簽署的程式，可以幫助偵測挖礦攻擊。

控制外部程式

實施基本的應用程式控制，允許清單、封鎖清單，並只允許具有有效數位簽章的應用程式執行，可以有效防止大多數的加密貨幣挖礦攻擊。

命令與控制伺服器

加密貨幣挖礦攻擊需要與外部伺服器通訊以取得工作分配和收集結果。使用雲端原生監控工具或雲端防火牆，識別可疑的流量模式，可以幫助偵測命令與控制服務。

反惡意軟體

佈署和管理反惡意軟體解決方案，可以偵測和移除惡意程式碼，保護雲端資源免受惡意軟體的侵害。

安全基礎建設

實施安全基礎建設，包括特權存取管理、身份存取管理、漏洞管理、補丁管理和變更控制，可以有效降低大多數攻擊向量的風險。大多數加密貨幣挖礦攻擊都是利用受損的憑證或未修補的漏洞進行攻擊。

網路網路釣魚攻擊：多樣化的威脅

網路網路釣魚攻擊有多種形式，不僅限於電子郵件中的訊息攻擊。駭客利用簡訊網路釣魚（SMishing）和社交媒體等管道誘騙使用者點選惡意連結、下載惡意軟體或在偽造網站上提供憑證。

新興的網路網路釣魚攻擊方式

隨著雲端和SaaS平台的發展，駭客開始利用這些平台內建的訊息功能進行網路釣魚攻擊。例如，線上上拍賣平台上，駭客可能會假冒買家傳送訊息，要求賣家更改收貨地址，從而盜取商品。

網路網路釣魚攻擊的防範

要防範網路網路釣魚攻擊，使用者需要保持警惕，仔細檢查訊息傳送者的身份，並避免點選可疑連結或提供敏感資訊。此外，線上服務提供者也應加強安全措施，例如實施雙因素認證、監控可疑活動等，以保護使用者免受網路網路釣魚攻擊。

案例分析

曾經有一案例，一名賣家線上上拍賣平台上收到一則訊息，聲稱買家需要更改收貨地址。賣家若未仔細核實訊息傳送者的身份，可能會將商品寄送到錯誤的地址，從而遭受經濟損失。

網路網路釣魚攻擊的多樣性與防範

網路網路釣魚攻擊（Phishing Attacks）是一種常見的網路威脅，攻擊者利用各種管道誘騙使用者洩露敏感資訊或進行惡意操作。隨著雲端應用和即時通訊工具的普及，網路網路釣魚攻擊的範圍和複雜度不斷增加，對個人和企業的安全都構成重大威脅。

網路網路釣魚的多樣性

網路網路釣魚攻擊可以透過多種方式進行，包括電子郵件、即時訊息、甚至是實體郵件。攻擊者可能會利用社交工程技巧，製造出看似合法的訊息，誘騙使用者點選惡意連結或提供個人資訊。在某些情況下，攻擊者甚至會利用多個帳戶或裝置來進行攻擊，使得追蹤和舉證變得更加困難。

案例分析

一個典型的例子是透過雲端應用程式進行的網路網路釣魚攻擊。假設一名攻擊者透過雲端應用程式傳送一封網路釣魚郵件，誘騙使用者點選惡意連結或提供敏感資訊。如果使用者在不知情的情況下進行了相關操作，攻擊者就可以輕易地取得其個人資訊或控制其帳戶。此外，如果攻擊者利用多個帳戶或裝置進行攻擊，則很難追蹤攻擊者的真實身份和作案手法。

防範措施

為了有效防範網路網路釣魚攻擊，使用者需要保持高度警覺。以下是一些建議：

• 對於任何可疑的訊息或郵件，都應謹慎處理，不要輕易點選連結或提供個人資訊。
• 定期更新密碼，並使用雙重認證（2FA）來增加帳戶的安全性。
• 對於來自未知來源的訊息或郵件，應格外小心，避免進行任何敏感操作。

網路網路釣魚測試與教育

企業可以透過網路網路釣魚測試和安全教育來提高員工的安全意識。這些測試可以幫助員工識別和避免網路網路釣魚攻擊，從而降低企業的安全風險。

網路網路釣魚測試的方法

企業可以使用專業的網路網路釣魚測試工具來模擬真實的網路釣魚攻擊，從而評估員工的安全意識。這些測試可以包括模擬網路釣魚郵件、即時訊息或其他形式的網路釣魚攻擊。

連續性測試的重要性

傳統的網路網路釣魚測試通常是一次性的，但攻擊者往往會採用連續性的攻擊策略。因此，企業應該實施連續性的網路網路釣魚測試，以模擬真實的攻擊場景。這樣可以更好地評估員工在面對持續性攻擊時的反應和決策能力。

潛在威脅：持續性網路網路釣魚活動

利用「取消訂閱」功能的網路釣魚攻擊

有一種特別狡猾的網路網路釣魚手法是利用電子郵件中的「取消訂閱」功能。攻擊者會傳送看似正常的行銷郵件，並在郵件中包含一個「取消訂閱」的連結。當使用者點選該連結時，可能會被引導到一個偽造的登入頁面，要求輸入帳號密碼，從而導致憑證洩露。

案例解析

假設一名員工每天都會收到來自某個供應商的行銷郵件，並且這些郵件都包含「取消訂閱」的連結。攻擊者可以模仿這些郵件，並將「取消訂閱」連結替換為一個偽造的登入頁面。當員工點選該連結並輸入帳號密碼時，攻擊者就可以取得其憑證，從而進一步入侵企業的內部系統。

防範持續性網路網路釣魚活動

為了有效防範持續性網路網路釣魚活動，企業需要採取更為全面的安全措施，包括：

• 定期進行連續性的網路網路釣魚測試，以評估員工的安全意識和反應能力。
• 提供持續的安全教育和培訓，幫助員工識別和避免各種形式的網路網路釣魚攻擊。
• 實施多層次的安全防護措施，包括電子郵件過濾、網頁過濾和終端安全防護等。

橫向移動：威脅行為者的下一步

對於網路威脅行為者來說，橫向移動（Lateral Movement）是從單一資產入侵轉變為在雲端環境中建立持久存在的關鍵一步。威脅行為者可能會透過多種方法初步滲透到一個環境中，接著再進一步擴散，以達到他們的最終目標。

橫向移動的風險

橫向移動使得威脅行為者能夠在網路中自由移動，存取更多的資源和敏感資訊。這種行為可能導致更嚴重的資料洩露、系統損壞或其他惡意活動。因此，瞭解和防範橫向移動是企業安全防護中的重要一環。

防範橫向移動的措施

為了有效防範橫向移動，企業可以採取以下措施：

• 實施嚴格的存取控制策略，限制使用者和系統之間的存取許可權。
• 定期監控和稽核網路活動，以便及時發現和回應可疑行為。
• 使用多層次的安全防護措施，包括防火牆、入侵檢測系統和終端安全防護等，以防止威脅行為者的進一步滲透。

結語

網路網路釣魚攻擊和橫向移動都是企業面臨的重要安全威脅。透過提高安全意識、實施持續性的安全測試和教育，以及採取全面的安全防護措施，我們可以有效降低這些威脅帶來的風險，保護企業的資訊安全和資產。

橫向移動：雲端安全的隱形威脅

在雲端運算的時代，企業面臨著日益嚴峻的安全挑戰。其中，橫向移動（Lateral Movement）是一種常見且危險的攻擊手段。本文將探討橫向移動的概念、威脅以及對策。

什麼是橫向移動？

橫向移動是指攻擊者在獲得初始存取權後，利用各種手段在不同資產（如身份、帳戶、資料函式庫、容器等）之間進行跳躍，以達成最終目標的過程。這種攻擊手法在約70%的網路攻擊中被採用。

橫向移動的威脅

攻擊者通常會利用初始的弱點（如漏洞或被盜用的憑證）進入雲端環境。然而，這個初始進入點往往無法直接提供攻擊者所需的資源。他們會利用這個立足點進一步取得其他資產的存取權，從而更接近目標。

如何防範橫向移動？

要有效防範橫向移動，需要採取多層次的安全策略。以下是一些關鍵措施：

1. 網路分段

網路分段是限制橫向移動的有效方法。透過將網路劃分為多個區域，可以減少攻擊者橫向移動的機會。

2. 特權存取管理

實施零信任（Zero Trust）和即時特權存取管理（Just-In-Time Privileged Access Management）可以有效降低特權攻擊向量帶來的威脅。

3. 資產攻擊防護

資產攻擊通常透過漏洞、補丁和組態管理來緩解。企業需要確保基本的網路安全衛生工作做得好，包括定期更新和修補漏洞。

4. 身份攻擊防護

身份攻擊的防護需要關注憑證的安全性，包括防止憑證被盜用或濫用。

橫向移動的多樣性

橫向移動可以發生在不同型別的資產之間，包括作業系統、應用程式、容器、虛擬機器和帳戶等。攻擊者可能會利用各種攻擊向量（如特權攻擊、資產攻擊和身份攻擊）來實作橫向移動。

內容解密：

此Plantuml圖表清晰地展示了橫向移動的基本流程。首先，攻擊者透過漏洞或被盜用的憑證獲得初始進入點。接著，他們利用這個立足點進行橫向移動，取得其他資產的存取權。隨著進一步的橫向移動，攻擊者更接近目標資產，最終執行惡意軟體以達成其目標。這個過程突顯了橫向移動在網路攻擊中的重要性，以及防範橫向移動的必要性。

橫向移動的威脅與防禦策略

橫向移動是攻擊者在成功入侵系統後，為擴大控制範圍而採取的一種常見攻擊手法。在雲端環境中，橫向移動的風險尤其高，因為攻擊者可以輕易地在不同資產之間進行跳躍式攻擊。本文將探討橫向移動的原理、常見攻擊手法以及有效的防禦措施。

橫向移動的原理與攻擊手法

橫向移動主要根據兩個核心方法：利用非特權帳戶和特權攻擊向量。特權攻擊向量是目前最容易被攻擊者利用的途徑，包括多種密碼攻擊技術，如密碼猜測、字典攻擊、暴力破解、密碼重設等。此外，利用預設憑證、後門憑證、匿名存取等也是常見的攻擊手段。

#### 常見的密碼攻擊技術
1. 密碼猜測
2. 字典攻擊
3. 暴力破解（包括密碼噴灑技術）
4. 傳遞雜湊值（Pass the Hash）
5. 安全問題破解
6. 密碼重設攻擊
7. 多因素身份驗證漏洞利用
8. 預設憑證利用
9. 後門憑證利用
10. 匿名存取
11. 可預測的密碼生成
12. 共用憑證
13. 社交工程
14. 臨時密碼利用
15. 重複或回收密碼利用

內容解密：

上述列舉的多種密碼攻擊技術，顯示出攻擊者有多種手段可以嘗試突破系統的安全防線。這些技術不僅威脅到帳戶的安全，也為橫向移動提供了便利。瞭解這些技術有助於我們採取更有效的防禦措施。

防禦橫向移動的最佳實踐

為了有效遏制橫向移動，必須實施多層次的安全防禦策略。以下是幾項重要的最佳實踐：

1. 應用最小許可權原則：限制使用者和管理員的許可權，避免不必要的許可權過度集中。實施即時特權存取管理（JIT PAM），確保特權帳戶的使用與授權、工作流程和存取政策保持一致。

2. 強制特權分離和職責分離：將使用者許可權分散到不同的帳戶和角色中，確保某些關鍵操作只能由特定的帳戶執行。這樣即使一個帳戶被攻破，攻擊者的活動範圍也會受到限制。

@startuml skinparam backgroundColor #FEFEFE skinparam componentStyle rectangle

title 雲端安全威脅與防禦策略剖析

package “雲端安全威脅與防禦” { package “主要威脅” { component [DNS 攻擊] as dns component [勒索軟體] as ransomware component [網路釣魚] as phishing }

package "防禦策略" {
    component [特權存取管理] as pam
    component [最小許可權] as least
    component [零信任模型] as zerotrust
}

package "橫向移動防護" {
    component [網路分段] as segment
    component [身分驗證] as identity
    component [VPAM 控制] as vpam
}

}

collect –> clean : 原始資料 clean –> feature : 乾淨資料 feature –> select : 特徵向量 select –> tune : 基礎模型 tune –> cv : 最佳參數 cv –> eval : 訓練模型 eval –> deploy : 驗證模型 deploy –> monitor : 生產模型

note right of feature 特徵工程包含：

• 特徵選擇
• 特徵轉換
• 降維處理 end note

note right of eval 評估指標：

• 準確率/召回率
• F1 Score
• AUC-ROC end note

@enduml

   
   #### 此圖示說明瞭特權分離的概念
   
   #### 內容解密：
   圖表展示瞭如何透過區分不同型別的帳戶及其對應的許可權，來實作特權分離。這種方法可以有效減少因單一帳戶被攻破而導致的安全風險。

3. **實施特權身份管理**：透過輪換憑證、消除預設或重複使用的憑證等方式，減少因憑證相關漏洞而導致的風險。例如，使用一次性密碼（OTP）可以有效防止密碼重複使用攻擊。

4. **智慧型身份和存取管理**：對於異常活動進行快速檢測和回應，監控所有特權會話，並具備對會話進行暫停、轉錄和終止的能力。

### 零信任模型在防禦橫向移動中的應用

零信任模型是一種強調嚴格存取控制的安全理念，不論是在內部還是外部環境，都預設不信任任何實體。透過零信任模型，可以有效防禦橫向移動攻擊，因為它要求在資產之間進行嚴格的授權和身份驗證。

## 雲端服務中的橫向移動威脅與防禦策略

在安全的SaaS（軟體即服務）平台中，從一個身份轉移到另一個身份通常很困難，除非威脅行為者知道另一個使用者的憑證，或者該平台組態不良，允許冒充其他使用者，包括許可權提升。然而，在使用者之間分享的資源可能會允許橫向移動。考慮到一個允許檔案上傳或嵌入超連結的SaaS應用程式。如果檔案或URL沒有被適當地檢查惡意軟體，威脅行為者可以發布內容，讓毫無戒備的使用者在瀏覽器中開啟或下載。單一威脅行為者如果能夠存取SaaS應用程式，就可以理論上傳惡意檔案，頻繁使用並感染大量客戶群，然後才被發現。或者，一個URL可以嵌入在一個常見的連結中，該連結在發布時是無害的，但之後被更改以託管惡意內容。

### 分享資源的風險

在SaaS應用程式中，不同身份之間的移動可以透過應用程式中的分享資源發生，而惡意或被劫持的使用者可以成為破壞其他使用者的工具。而且，由於沒有反惡意軟體解決方案是完美的，威脅越先進，這種型別的場景就越有可能成功。一旦成功，同樣的工具就會被用於橫向移動。

### 雲端應用與遠端資產的互動

接下來，考慮雲端應用程式和遠端資產之間的互動。正如我們在SolarWinds Orion事件中看到的那樣，供應鏈中的洩露允許Orion的自動更新服務包含惡意程式碼，並將其傳遞給SolarWinds客戶。基本上，來自雲端服務的任何下載都可能影響遠端裝置，無論其意圖是惡意的還是不惡意的。不幸的是，多年來我們已經多次看到這種情況發生，例如不良的防毒軟體簽名導致不當的檔案刪除、效能不佳，甚至系統當機（如藍色畫面宕機）。

#### 程式碼範例：安全下載與執行
```python
import hashlib
import requests

def secure_download(url, expected_hash):
    response = requests.get(url)
    actual_hash = hashlib.sha256(response.content).hexdigest()
    if actual_hash != expected_hash:
        raise ValueError("下載檔案與預期雜湊值不符")
    return response.content

# 使用範例
url = "https://example.com/software.zip"
expected_hash = "預期的SHA256雜湊值"
try:
    content = secure_download(url, expected_hash)
    # 處理下載內容
except ValueError as e:
    print(e)

內容解密：

1. 安全下載功能：此範例展示了一個安全下載函式secure_download，它不僅下載指定URL的內容，還驗證下載檔案的SHA256雜湊值是否與預期相符。
2. 雜湊值驗證：透過比較實際雜湊值和預期雜湊值，可以確保下載的檔案未被篡改，從而降低惡意軟體的風險。
3. 例外處理：如果雜湊值不符，函式會引發ValueError，提示下載檔案可能存在風險。

防禦策略

為了對抗這些威脅，變更控制是至關重要的，以驗證所有更新。此外，作為安全最佳實踐，所有雲端解決方案都應為所有使用者啟用多因素認證（MFA）。單一因素認證在現代攻擊面前是不可接受的。

身份中心的安全方法

最後，使用以身份為中心的安全方法，並結合特權存取管理，可以解決許多這些問題。這包括確保人類和非人類身份盡可能唯一，應用程式以最小許可權原則實施，以及秘密（如密碼和金鑰）唯一且永不重複使用。

遠端桌面協定（RDP）的風險

RDP（遠端桌面協定）是一種允許完整桌面體驗的技術，包括遠端聲音、剪貼簿、印表機和檔案傳輸，具有高解析度圖形（可根據頻寬縮放）供遠端使用者使用。由於其安裝和不良的認證衛生所困擾的過多漏洞，一些安全專業人員最近戲稱RDP為“勒索軟體分發協定”。