Windows加强RDP文件保护以应对钓鱼攻击
微软在2026年4月安全更新中引入了新的Windows保护措施,旨在减少利用远程桌面(.rdp)文件进行的钓鱼攻击。通过这些更新,远程桌面连接应用在建立连接前会显示更强的警告对话框,展示远程系统详情,并要求用户审查任何共享本地资源(如驱动器或剪贴板)的请求。
RDP文件定义了系统如何连接到远程计算机,可配置为共享剪贴板、磁盘驱动器或摄像头等本地资源。攻击者通过钓鱼邮件分发RDP文件来利用这一功能。打开文件后,它会连接到攻击者控制的服务器,从而暴露本地数据,包括文件、存储的凭据和其他敏感信息。
安装更新后,Windows首次打开RDP文件时会显示一次性的教育提示,说明这些文件的工作原理并警告钓鱼风险。微软表示:“在此对话框中允许RDP文件连接后,您的账户将不会再看到此提示。”每次打开RDP文件时,Windows都会在任何连接建立前显示安全提示,展示目标系统并列出所有请求的本地资源访问权限。这些选项默认禁用,必须由用户手动批准。
如果RDP文件未经过数字签名,Windows无法验证其来源或完整性,会显示标有“警告:未知远程连接”的警告对话框,发布者显示为“未知发布者”。经过数字签名后,Windows可验证其来源,在警告对话框中显示发布者名称,并带有标题为“验证此远程连接的发布者”的横幅。数字签名可验证创建文件的实体身份并确认文件自签名后未被修改。然而,公司警告称签名并不保证文件安全,因为攻击者可以使用与合法组织非常相似的名称来签名文件。
微软补充称,未来的Windows更新可能会移除对旧连接设置的支持,并建议组织过渡到新的安全对话框。
