Искате ли да видите сайта на друг език?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Смяна на език
Съдържание
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Защо отдалечените работни станции изискват силна сигурност?

Remote Desktop не е автоматично небезопасен, но, както при всеки режим на отдалечена връзка, никога не е по-безопасен от системата около него. За системните администратори правилният въпрос не е дали Remote Desktop е сигурен в абстрактен смисъл. Правилният въпрос е дали крайният пункт, пътят на мрежовото излагане и контролите на акаунта са достатъчно силни, за да го поддържат.

Тази рамка е важна, защото текущите указания на Microsoft все още се съсредоточават върху сигурния Remote Desktop около удостоверяване на ниво мрежа (NLA), RD Gateway, TLS сертификати и MFA, а не около директно публично излагане. В съответствие с това, CISA и подобни насоки последователно подтикват организациите да деактивират неизползвания RDP достъп, да ограничат рисковите услуги и да наложат MFA, тъй като изложеният отдалечен достъп остава общ път за проникване. Въпреки това, смятаме, че има още какво да се направи.

Кои три начални проверки определят риска от Remote Desktop?

Риск на крайна точка

Рискът от крайна точка е състоянието на самата машина. Пълно обновена работна станция с Windows, с модерна защита на крайната точка, ограничени администраторски права и контролирано поведение на сесията, е в много различна позиция в сравнение с остарял сървър с широк достъп до локални администраторски права и остарели удостоверения. Сигурните отдалечени работни плотове започват с хост, който вече е защитим, преди да започне каквато и да е отдалечена сесия.

Риск от излагане на мрежата

Рискът от излагане на мрежата е свързан с достъпността. Ако повърхността за вход е достъпна директно от интернет, машината е изложена на сканиране, опити за отгатване на пароли и опити за експлоатация. Ако същият хост е достъпен само чрез VPN, RD Gateway или стриктно управляван слой за достъп, рискът се променя съществено. Microsoft изрично позиционира RD Gateway като начин за предоставяне на криптиран достъп през HTTPS, без да се отварят вътрешни RDP портове.

Риск на акаунта

Рискът от акаунт е свързан с качеството на идентичността и привилегиите. Сигурен хост бързо става несигурен, когато отдалечените входове разчитат на повторно използвани пароли, неактивни администраторски акаунти или широки права. Насоките на Microsoft за планиране на RDS продължават да третират MFA като основен контрол за сигурен отдалечен достъп, особено когато достъпът се посредничи чрез RD Gateway.

Защо отговорът се променя за домашен компютър, офис работна станция, сървър или ферма и по-голяма инфраструктура?

Домашни компютри

Обикновено домашният компютър има по-малък радиус на взрив от производствения сървър, но често се управлява по-малко строго. Консуматорските рутери, случайното пренасочване на портове, слаби локални пароли и непоследователно прилагане на актуализации могат да направят домашната система изненадващо уязвима. Основният риск често е лошата конфигурация, а не умишленият корпоративен дизайн.

Офис работни станции

Офисната работна станция обикновено се намира в управлявана мрежа, но това не премахва риска. Ако компрометирана потребителска сметка може да достигне работната станция отдалечено, работната станция може да стане опорна точка за странично движение, кражба на данни или ескалация на привилегии. На практика офисните крайни точки се нуждаят както от хигиена на крайните точки, така и от ясна политика за отдалечен достъп.

Сървъри на Windows

Сървърът с Windows носи най-високите последствия. Дистанционният достъп до файлов сървър, сървър за приложения или хост на сесия за дистанционен работен плот означава, че нападателят е по-близо до критични данни, споделени услуги и административни инструменти. Затова сигурните RD сървъри се нуждаят от по-строги контрол на идентичността, по-тясно излагане и активни защитни мерки на входната повърхност.

Ферми и по-големи инфраструктури

В ферма или по-голяма инфраструктура за отдалечен достъп рискът вече не е свързан само с една машина. Една слаба работна станция, изложен сървър или администраторски акаунт с прекалени права могат да повлияят на цялата среда, която включва публикувани приложения, сървъри за отдалечен работен плот, уеб портали, шлюзове и поддържащи управленски системи. За ISV, MSP и екипи по ИТ в предприятията, истинското предизвикателство е постоянство в много крайни точки и пътища за достъп .

Това променя въпроса за сигурността по два начина.

Споделено излагане

Първо, администраторите трябва да мислят в термини на споделено излагане, а не на изолирани хостове.

Мащабируеми контроли

Второ, те се нуждаят от контроли, които да се мащабират в смесени среди, включително работни станции на потребители, сигурни RD сървъри и системи, свързани с интернет.

В този контекст защитата на дистанционните връзки означава стандартизиране на политиката, намаляване на повърхността на атака в цялото имущество и централизирано наблюдение на удостоверяването и поведението на сесиите, вместо да се прави това по хостове.

Риск от крайна точка: Готов ли е хостът за отдалечен достъп?

Преди да защитите отдалечените връзки, уверете се, че хостът наистина заслужава да бъде изложен. Започнете с актуализация на пачовете, защита на крайни точки, обхват на локалния администратор и хигиена на запазените удостоверения. NLA помага за намаляване на настройката на неавтентифицирани сесии, но не компенсира за лошо поддържана машина. Microsoft все още препоръчва NLA, защото потребителите се удостоверяват. преди да бъде установена сесия което намалява риска от неразрешен достъп и ограничава ангажимента на ресурсите до удостоверени потребители.

За бърз преглед на крайни точки, проверете тези елементи:

  1. Операционната система напълно ли е обновена и поддържана?
  2. Само ли необходимите потребители са в групата на потребителите на отдалечен работен плот?
  3. Ограничени ли са правата на локален администратор?
  4. Активна ли е и наблюдавана ли е защита на крайни точки?
  5. Редовно ли се преглеждат кешираните удостоверения, запазените сесии и неактивните акаунти?

Тук също е мястото, където TSplus Advanced Security се вписва добре като горен слой за укрепване. Нашият софтуер за Advanced Security е инструментариум за осигуряване на сървъри за приложения и Remote Desktop. От нашата редовно актуализирана документация, си струва да се подчертаят някои от най-релевантните функции, а именно Bruteforce Protection, Geographic Protection и Ransomware Protection, от началния поток на конфигурацията.

Риск от излагане на мрежата: Могат ли атакуващите да достигнат до входната повърхност?

Директно излагане в интернет

Директното излагане на RDP остава най-опасният общ модел. Ако TCP 3389 е достъпен от публичния интернет, машината става откриваема за скенери и трафик с брутфорс. CISA многократно съветва организациите да деактивират портове и протоколи, които не са необходими за бизнес употреба, като изрично посочва RDP порт 3389 в множество съобщения за рансъмуер и заплахи.

VPN, RD Gateway или контролиран достъп

Контролираният достъп е по-безопасен, защото стеснява откритата входна врата. Текущият на Microsoft Обзор на RDS твърди, че RD Gateway предоставя сигурен, криптиран RDP достъп през HTTPS от външни мрежи, без да отваря вътрешни RDP портове, и поддържа MFA и условни политики. Това е много по-силен модел от директното излагане на RDP.

Къде се вписва TSplus Advanced Security?

TSplus Advanced Security е най-полезен, когато имате нужда от повече контрол върху изложената част на Windows remote access. От блокиране на хакери до защита на Remote Desktop и сървъри за приложения, от ограничаване на разрешените държави до поставяне в черен списък на враждебни IP адреси, или до автоматично реагиране на поведение на брутфорс, Advanced Security предлага обхват на защита от 360°. Например, нашата онлайн документация конкретно описва как Географската защита работи с вградената защитна стена на Advanced Security. Междувременно, Bruteforce Protection автоматично поставя в черен списък нарушаващите IP адреси след повторни неуспехи.

Нуждаете ли се от по-силен контрол върху открития отдалечен достъп, но искате да избегнете натрупването на сложност в предприятието? Заповядайте да започнете безплатния си пробен период на TSplus Advanced Security и открийте какво може да направи веднага, както и през следващите 15 дни.

Риск на акаунта: Кой може да влезе и с какви права?

Удостоверения

Слаби идентификационни данни все още са един от най-бързите начини да загубите контрол над отдалечено достъпна машина. Достъп само с парола, споделени администраторски акаунти и стари служебни идентификационни данни превръщат управляемата конфигурация в привлекателна цел. Дори когато транспортът е криптиран, лошата хигиена на идентичността подкопава целия дизайн.

Многофакторна автентикация

MFA е един от най-ясните начини за намаляване на този риск. Ръководството за планиране на RDS от Microsoft продължава да поставя MFA в сигурни работни потоци за отдалечен десктоп, а TSplus 2FA е проектирано специално да добави поне втори фактор за входящ достъп до отдалечен достъп.

Най-малко привилегии

Най-малките права са също толкова важни. На защитените RD сървъри правата за отдалечен вход трябва да бъдат ограничени до именувани групи, администраторските сесии трябва да бъдат отделени от рутинния достъп на потребителите, а неактивните акаунти трябва да бъдат деактивирани. Ако не знаете точно кой може да влезе отдалечено, средата вече е по-слаба, отколкото изглежда.

Заключване на устройство-потребител

За допълнително спокойствие, добавихме допълнителен слой защита под формата на Доверени Устройства. Тази функция за защита на крайни точки заключва потребителското име към обичайното му устройство, което позволява по-бърз отговор в случай на загуба или кражба.

5-минутна самооценка за системни администратори

Проверете бързо това, преди да предположите, че машината е безопасна за Remote Desktop:

  1. Достъпен ли е порт 3389 от публичния интернет?
  2. Активирано ли е NLA на целевия хост?
  3. Дали отдалеченият достъп се осъществява чрез VPN, RD Gateway или друг контролируем маршрут?
  4. Задължително ли е MFA за дистанционни входове?
  5. Ограничени ли са правата за отдалечен вход до най-малката необходима група?
  6. TSplus Advanced Security или еквивалентна защита блокиране на брутфорс и враждебна IP активност?
  7. Патчнат ли е хостът, наблюдаван ли е и свободен ли е от остарели привилегировани акаунти?

Ако отговорът на първия въпрос е да, а следващите три са не, третирайте машината като висок риск.

Какво да поправим първо

Системните администратори обикновено получават най-голямо намаление на риска от последователност, а не от обем. Първо поправете реда на контролите.

Започнете с премахване на директната публична експозиция, където е възможно. След това затегнете идентичността с MFA и по-малки обхвати на влизане. След това укрепете хоста и добавете активни защитни контроли около повърхността за отдалечен достъп.

За много малки и средни предприятия и средния пазар, там е мястото, където TSplus Advanced Security става както практичен, така и съществен. Продуктът е разработен за Windows отдалечен достъп и сървъри за приложения, а нашата свързана статия за TSplus на сигурна свързаност на отдалечен сайт разширява това, като също така разкрива защо Advanced Security е основният защитен слой за безопасни среди за отдалечен достъп.

Заключение: Сигурността на отдалечения работен плот започва отгоре.

Колко сигурен е вашият компютър от дистанционен работен плот зависи по-малко от самия Дистанционен работен плот, отколкото от проверките около него. Позицията на крайното устройство определя дали машината е защитима. Мрежовото излагане определя дали нападателите могат да достигнат до входната повърхност. Контролът на акаунта определя дали валидното влизане става сериозен инцидент.

Такъв е практичният отговор за системната администрация. Ако искате да защитите добре отдалечените връзки, не започвайте със сесията. Започнете отгоре с хоста, пътя на експозиция и слоя на идентичността. След като това е направено, наложете тези решения с инструменти като TSplus Advanced Security и достъп, подкрепен от MFA.

Започнете днес с всестранна IT защита на сървъри, направена лесна .

Споделяне:

Facebook Twitter LinkedIn

Вашият екип на TSplus

Допълнително четене

TSplus Remote Desktop Access - Advanced Security Software

Може ли Remote Desktop да бъде хакнат? Практически риск за предотвратяване

Може ли да бъде хакнат Remote Desktop? Да, remote desktop може да бъде хакнат. Използвайте практическа оценка на риска, за да намалите експозицията, да укрепите идентичността и да осигурите RDP, HTML5 портали и VDI достъп.

Прочетете статията →
TSplus Remote Desktop Access - Advanced Security Software

Протокол за отдалечен работен плот Ransomware: Инженеринг на открития при атаки, водени от RDP

Открийте ранно ransomware на протокола за отдалечен работен плот, изградете високо сигнална телеметрия, базови линии, известия и практически стъпки за триаж, и планирайте отговори за справяне с инвазии, водени от RDP.

Прочетете статията →
back to top of the page icon