Chtěli byste vidět stránku v jiném jazyce?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Změnit jazyk
Obsah
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Proč vyžadují vzdálené plochy silnou bezpečnost?

Remote Desktop není automaticky nebezpečný, ale jako jakýkoli režim vzdáleného připojení nikdy není bezpečnější než systém kolem něj. Pro systémové administrátory není správná otázka, zda je Remote Desktop v abstraktním smyslu bezpečný. Správná otázka je, zda je koncový bod, cesta vystavení sítě a kontrola účtů dostatečně silné, aby to podpořily.

Tohoto rámování je důležité, protože současné pokyny společnosti Microsoft stále soustředí zabezpečený Remote Desktop kolem ověřování na úrovni sítě (NLA), RD Gateway, TLS certifikátů a MFA spíše než kolem přímého veřejného vystavení. V souladu s tím, CISA a podobné pokyny důsledně tlačí organizace k deaktivaci nepoužívaného RDP přístupu, omezení rizikových služeb a prosazení MFA, protože vystavený vzdálený přístup zůstává běžnou cestou pro vniknutí. Přesto si myslíme, že je třeba udělat více.

Jaké tři počáteční kontroly určují riziko vzdálené plochy?

Riziko koncových bodů

Riziko koncového bodu je stav samotného stroje. Plně aktualizovaná pracovní stanice se systémem Windows s moderní ochranou koncových bodů, omezenými administrátorskými právy a kontrolovaným chováním relace je v velmi odlišném postavení ve srovnání se stárnoucím serverem s širokým místním administrátorským přístupem a zastaralými přihlašovacími údaji. Bezpečné vzdálené plochy začínají s hostitelem, který je již bránitelný, než jakákoli vzdálená relace začne.

Riziko vystavení sítě

Riziko vystavení sítě se týká dostupnosti. Pokud je přihlašovací rozhraní dostupné přímo z internetu, je stroj vystaven skenování, hádání hesel a pokusům o zneužití. Pokud je stejný host dostupný pouze prostřednictvím VPN, RD Gateway nebo pečlivě řízené přístupové vrstvy, riziko se podstatně mění. Microsoft výslovně uvádí RD Gateway jako způsob, jak poskytnout šifrovaný přístup přes HTTPS, aniž by se otevřely interní RDP porty.

Riziko účtu

Riziko účtu se týká kvality identity a oprávnění. Bezpečný hostitel se rychle stává nebezpečným, když vzdálené přihlášení závisí na opakovaně použitých heslech, nečinných administrátorských účtech nebo širokých oprávněních. Plánovací pokyny společnosti Microsoft pro RDS nadále považují MFA za základní kontrolu pro bezpečný vzdálený přístup, zejména když je přístup zprostředkován prostřednictvím RD Gateway.

Proč se odpověď mění pro domácí PC, pracovní stanici, server nebo farmu a větší infrastrukturu?

Domácí počítače

Domácí počítač obvykle má menší rádius výbuchu než produkční server, ale často je spravován méně důkladně. Spotřebitelské routery, příležitostné přesměrování portů, slabá místní hesla a nekonzistentní záplaty mohou způsobit, že domácí systém bude překvapivě vystaven. Hlavním rizikem je často špatná konfigurace spíše než záměrný podnikový design.

Pracovní stanice v kanceláři

Kancelářské pracovní stanice obvykle sídlí uvnitř spravované sítě, ale to nezbavuje rizika. Pokud může kompromitovaný uživatelský účet vzdáleně dosáhnout na pracovní stanici, může se pracovní stanice stát pivotním bodem pro laterální pohyb, krádež dat nebo eskalaci oprávnění. V praxi potřebují kancelářské koncové body jak hygienu koncových bodů, tak jasnou politiku vzdáleného přístupu.

Windows servery

Windows server nese nejvyšší důsledky. Vzdálený přístup k souborovému serveru, aplikačnímu serveru nebo hostiteli relace vzdálené plochy znamená, že útočník je blíže k kritickým datům, sdíleným službám a administrativním nástrojům. Proto potřebují zabezpečené RD servery přísnější kontroly identity, užší vystavení a aktivní obranné kontroly na přihlašovací ploše.

Farmy a větší infrastruktury

V farmě nebo větší infrastruktuře pro vzdálený přístup již není riziko spojeno pouze s jedním strojem. Jediná slabá pracovní stanice, vystavený server nebo příliš oprávněný administrátorský účet mohou ovlivnit celé prostředí, které zahrnuje publikované aplikace, servery vzdálené plochy, webové portály, brány a podpůrné řídicí systémy. Pro ISV, MSP a podnikové IT týmy je skutečnou výzvou konzistence napříč mnoha koncovými body a přístupovými cestami .

Toto mění bezpečnostní otázku dvěma způsoby.

Sdílené vystavení

Nejprve musí administrátoři přemýšlet v termínech sdílené expozice spíše než izolovaných hostitelů.

Škálovatelné ovládací prvky

Za druhé potřebují ovládací prvky, které se škálují napříč smíšenými prostředími, včetně uživatelských pracovních stanic, zabezpečených RD serverů a systémů připojených k internetu.

V tomto kontextu ochrana vzdálených připojení znamená standardizaci politiky, snížení útočné plochy napříč celým majetkem a centrální sledování autentizace a chování relací spíše než hostitel po hostiteli.

Riziko koncových bodů: Je hostitel připraven na vzdálený přístup?

Než ochráníte vzdálené připojení, ověřte, zda hostitel skutečně zaslouží být vystaven. Začněte s frekvencí záplatování, ochranou koncových bodů, rozsahem místního administrátora a hygienou uložených přihlašovacích údajů. NLA pomáhá snižovat nastavení neautentizovaných relací, ale nenahrazuje špatně udržovaný stroj. Microsoft stále doporučuje NLA, protože uživatelé se autentizují. před tím, než je relace navázána , což snižuje riziko neoprávněného přístupu a omezuje využití zdrojů na ověřené uživatele.

Pro rychlé posouzení koncových bodů zkontrolujte tyto položky:

  1. Je operační systém plně aktualizován a podporován?
  2. Jsou pouze požadovaní uživatelé ve skupině Uživatelé vzdálené plochy?
  3. Jsou místní administrátorské práva omezená?
  4. Je ochrana koncových bodů aktivní a monitorována?
  5. Jsou uložené přihlašovací údaje, uložené relace a neaktivní účty pravidelně kontrolovány?

Toto je také místo, kde se TSplus Advanced Security dobře hodí jako vrstva zpevnění. Náš software Advanced Security je nástroj pro zabezpečení aplikačních serverů a Remote Desktop. Z naší pravidelně aktualizované dokumentace stojí za to vyzdvihnout některé nejrelevantnější funkce, a to ochranu proti brutálnímu útoku, geografickou ochranu a ochranu proti ransomwaru, z počátečního konfiguračního procesu.

Riziko vystavení sítě: Mohou útočníci dosáhnout přihlašovací plochy?

Přímé vystavení přes internet

Přímé vystavení RDP zůstává nejnebezpečnějším běžným vzorem. Pokud je TCP 3389 dostupný z veřejného internetu, stává se stroj zjistitelným pro skenery a brutální provoz. CISA opakovaně doporučuje organizacím, aby zakázaly porty a protokoly, které nejsou potřebné pro obchodní použití, přičemž výslovně uvádí RDP port 3389 v několika varováních týkajících se ransomwaru a hrozeb.

VPN, RD Gateway nebo řízená přístupová cesta

Ovládaná přístupová cesta je bezpečnější, protože zúžuje vystavené přední dveře. Aktuální Microsoftova Přehled RDS uvádí, že RD Gateway poskytuje bezpečný, šifrovaný RDP přístup přes HTTPS z externích sítí, aniž by se otevíraly interní RDP porty, a podporuje MFA a podmínkové politiky. To je mnohem silnější model než přímé vystavení RDP.

Kde se hodí TSplus Advanced Security?

TSplus Advanced Security je nejvíce užitečný, když potřebujete větší kontrolu nad vystaveným okrajem vzdáleného přístupu k Windows. Od blokování hackerů po ochranu Remote Desktop a aplikačních serverů, od omezení povolených zemí po zařazení nepřátelských IP adres na černou listinu, nebo automatickou reakci na chování typu brute-force, Advanced Security má rozsah ochrany 360°. Například naše online dokumentace konkrétně popisuje, jak Geographic Protection funguje s vestavěnou firewallem Advanced Security. Mezitím Bruteforce Protection automaticky zařazuje na černou listinu problémové IP adresy po opakovaných neúspěších.

Potřebujete silnější kontrolu nad vystaveným vzdáleným přístupem, ale chcete se vyhnout zbytečné složitosti podnikové úrovně? Můžete začít svou bezplatnou zkušební verzí TSplus Advanced Security a okamžitě zjistit, co všechno dokáže, a to během následujících 15 dnů.

Riziko účtu: Kdo se může přihlásit a s jakým oprávněním?

Přihlašovací údaje

Slabé přihlašovací údaje jsou stále jedním z nejrychlejších způsobů, jak ztratit kontrolu nad strojí, který je přístupný na dálku. Přístup pouze pomocí hesla, sdílené administrátorské účty a staré servisní přihlašovací údaje proměňují zvládnutelnou konfiguraci v atraktivní cíl. I když je přenos šifrovaný, špatná hygiena identity podkopává celý design.

Vícefaktorová autentizace

MFA je jedním z nejjasnějších způsobů, jak snížit toto riziko. Plánovací pokyny RDS od Microsoftu se nadále zaměřují na MFA v bezpečných pracovních postupech vzdáleného desktopu a TSplus 2FA je navrženo konkrétně tak, aby přidalo alespoň druhý faktor k příchozímu vzdálenému přístupu.

Nejmenší oprávnění

Minimální oprávnění jsou stejně důležitá. Na zabezpečených RD serverech by měly být vzdálené přihlašovací práva omezena na pojmenované skupiny, administrátorské relace by měly být odděleny od běžného uživatelského přístupu a neaktivní účty by měly být deaktivovány. Pokud přesně nevíte, kdo se může přihlásit vzdáleně, je prostředí již slabší, než se zdá.

Zamykání zařízení uživatele

Pro větší klid jsme zpřístupnili další vrstvu ochrany ve formě Důvěryhodných zařízení. Tato funkce zabezpečení koncových bodů uzamkne uživatelské jméno k jeho obvyklému zařízení, což umožňuje rychlejší reakci v případě jeho ztráty nebo krádeže.

5minutová sebehodnocení pro sysadminy

Proveďte tuto rychlou kontrolu, než předpokládáte, že je stroj bezpečný pro Remote Desktop:

  1. Je port 3389 dostupný z veřejného internetu?
  2. Je NLA povoleno na cílovém hostiteli?
  3. Je vzdálený přístup zprostředkován prostřednictvím VPN, RD Gateway nebo jiného řízeného kanálu?
  4. Je MFA vynucováno pro vzdálené přihlášení?
  5. Jsou práva pro vzdálené přihlášení omezena na nejmenší nezbytnou skupinu?
  6. Je TSplus Advanced Security nebo ekvivalentní ochrana blokování útoků hrubou silou a nepřátelské IP aktivity?
  7. Je hostitel opraven, monitorován a bez zastaralých privilegovaných účtů?

Pokud je odpověď na první otázku ano a na následující tři ne, považujte stroj za vysoce rizikový.

Co opravit jako první

Systémoví administrátoři obvykle získávají největší snížení rizika z pořadí, nikoli z objemu. Nejprve opravte pořadí kontrol.

Začněte odstraněním přímé veřejné expozice, kde je to možné. Poté zpevněte identitu pomocí MFA a menších rozsahů přihlášení. Poté zpevněte hostitele a přidejte aktivní obranné kontroly kolem povrchu vzdáleného přístupu.

Pro mnoho SMB a středně velkých prostředí se zde stává TSplus Advanced Security praktickým a nezbytným. Produkt je vyvinut pro vzdálený přístup k Windows a aplikační servery, a náš související článek o TSplus na bezpečné připojení k vzdálenému serveru rozšiřuje to, také objasňuje, proč je Advanced Security hlavní ochrannou vrstvou pro bezpečné prostředí vzdáleného přístupu.

Závěr: Bezpečnost vzdálené plochy začíná nahoře

Jak bezpečný je váš počítač před vzdáleným přístupem, závisí méně na samotném vzdáleném přístupu než na kontrolách kolem něj. Postoj koncového bodu rozhoduje, zda je stroj bránitelný. Expozice sítě rozhoduje, zda se útočníci mohou dostat k přihlašovací obrazovce. Kontrola účtu rozhoduje, zda platné přihlášení představuje vážnou událost.

Taková je praktická odpověď pro správu systému. Pokud chcete dobře chránit vzdálené připojení, nezačínejte se sezením. Začněte výše s hostitelem, cestou vystavení a vrstvou identity. Jakmile je to hotovo, prosazujte tato rozhodnutí pomocí nástrojů, jako je TSplus Advanced Security a přístup podložený MFA.

Začněte dnes s jednoduchá komplexní bezpečnost IT serveru .

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Další čtení

back to top of the page icon