Vil du gerne se siden på et andet sprog?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Skift sprog
Indholdsfortegnelse
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Hvorfor kræver fjernskriveborde stærk sikkerhed?

Remote Desktop er ikke automatisk usikkert, men som enhver fjernforbindelsesmetode er det aldrig sikrere end det system, der omgiver det. For systemadministratorer er det rigtige spørgsmål ikke, om Remote Desktop er sikkert i det abstrakte. Det rigtige spørgsmål er, om endpointet, netværkseksponeringsvejen og kontoerne er stærke nok til at understøtte det.

Det er vigtigt, fordi Microsofts nuværende vejledning stadig fokuserer på sikker Remote Desktop omkring Network Level Authentication (NLA), RD Gateway, TLS-certifikater og MFA snarere end direkte offentlig eksponering. I overensstemmelse hermed, CISA og lignende vejledning presser konsekvent organisationer til at deaktivere ubenyttet RDP-adgang, begrænse risikable tjenester og håndhæve MFA, fordi eksponeret fjernadgang forbliver en almindelig indtrængningsvej. Alligevel mener vi, at der er mere at gøre.

Hvilke tre indledende tjek bestemmer risikoen ved Remote Desktop?

Endpoint risiko

Endpoint risiko er tilstanden af selve maskinen. En fuldt opdateret Windows arbejdsstation med moderne endpoint beskyttelse, begrænsede admin-rettigheder og kontrolleret session adfærd er i en meget anderledes position sammenlignet med en aldrende server med bred lokal admin-adgang og forældede legitimationsoplysninger. Sikker fjernskriveborde starter med en vært, der allerede er defensiv, før nogen fjernsession begynder.

Netværkseksponeringsrisiko

Netværkseksponeringsrisiko handler om tilgængelighed. Hvis en loginflade er tilgængelig direkte fra internettet, er maskinen udsat for scanning, adgangskodegætning og udnyttelsesforsøg. Hvis den samme vært kun er tilgængelig gennem en VPN, en RD Gateway eller et stramt styret adgangslag, ændrer risikoen sig væsentligt. Microsoft positionerer eksplicit RD Gateway som en måde at give krypteret adgang over HTTPS uden at åbne interne RDP-porte.

Konto risiko

Konto risiko handler om identitetskvalitet og privilegier. En sikker vært bliver hurtigt usikker, når fjernlogins er afhængige af genbrugte adgangskoder, inaktive admin-konti eller brede rettigheder. Microsofts RDS planlægningsvejledning fortsætter med at betragte MFA som en kernekontrol for sikker fjernadgang, især når adgangen formidles gennem RD Gateway.

Hvorfor ændrer svaret sig for en hjemme-pc, kontorarbejdsstation, server eller farm og større infrastruktur?

Hjemme-PC'er

En hjemme-PC har normalt en mindre eksplosionsradius end en produktionsserver, men den administreres ofte mindre strengt. Forbrugerrutere, uformel portvideresendelse, svage lokale adgangskoder og inkonsekvent opdatering kan gøre et hjemmesystem overraskende sårbart. Den største risiko er ofte dårlig konfiguration snarere end bevidst virksomheddesign.

Kontorarbejdsstationer

En kontorarbejdsstation sidder normalt inden for et administreret netværk, men det fjerner ikke risikoen. Hvis en kompromitteret brugerkonto kan få adgang til arbejdsstationen eksternt, kan arbejdsstationen blive et pivotpunkt for lateral bevægelse, datatyveri eller privilegiumseskalering. I praksis har kontorendepunkter brug for både endpoint-hygiejne og en klar politik for fjernadgang.

Windows-servere

En Windows-server har den højeste konsekvens. Fjernadgang til en filserver, applikationsserver eller Remote Desktop Session Host betyder, at angriberen er tættere på kritiske data, delte tjenester og administrative værktøjer. Derfor har sikre RD-servere brug for strengere identitetskontroller, snævrere eksponering og aktive defensive kontroller ved loginoverfladen.

Gårde og større infrastrukturer

I en farm eller større infrastruktur til fjernadgang er risikoen ikke længere knyttet til én enkelt maskine. En enkelt svag arbejdsstation, en udsat server eller en overbevilget admin-konto kan påvirke et helt miljø, der inkluderer publicerede applikationer, Remote Desktop-servere, webportaler, gateways og understøttende administrationssystemer. For ISV'er, MSP'er og virksomhedens IT-teams er den reelle udfordring konsistens på tværs af mange slutpunkter og adgangsveje .

Dette ændrer sikkerhedsspørgsmålet på to måder.

Fælles eksponering

Først skal administratorer tænke i termer af delt eksponering snarere end isolerede værter.

Skalerbare kontroller

For det andet har de brug for kontroller, der skalerer på tværs af blandede miljøer, herunder brugerarbejdsstationer, sikre RD-servere og internet-facing systemer.

I den sammenhæng betyder beskyttelse af fjernforbindelser at standardisere politik, reducere angrebsoverfladen på tværs af hele ejendommen og overvåge godkendelse og sessionsadfærd centralt i stedet for vært for vært.

Endpoint Risiko: Er værten klar til Remote Access?

Før du beskytter fjernforbindelser, skal du verificere, at værten overhovedet fortjener at blive eksponeret. Start med opdateringsfrekvens, endpoint-beskyttelse, lokal administratoradgang og hygiejne for gemte legitimationsoplysninger. NLA hjælper med at reducere opsætning af uautentificerede sessioner, men det kompenserer ikke for en dårligt vedligeholdt maskine. Microsoft anbefaler stadig NLA, fordi brugere autentificerer. før en session oprettes som reducerer risikoen for uautoriseret adgang og begrænser ressourceforpligtelsen til autentificerede brugere.

For en hurtig gennemgang af endpoint, tjek disse punkter:

  1. Er operativsystemet fuldt opdateret og understøttet?
  2. Er kun nødvendige brugere i gruppen for Remote Desktop-brugere?
  3. Er lokale administratorrettigheder begrænset?
  4. Er endpointbeskyttelse aktiv og overvåget?
  5. Bliver cachede legitimationsoplysninger, gemte sessioner og inaktive konti gennemgået regelmæssigt?

Dette er også, hvor TSplus Advanced Security passer godt som et opstrøms hærdningslag. Vores Advanced Security-software er en værktøjskasse til at sikre applikationsservere og Remote Desktop. Fra vores regelmæssigt opdaterede dokumentation er det værd at fremhæve nogle af de mest relevante funktioner, nemlig Bruteforce Protection, Geographic Protection og Ransomware Protection, fra den indledende konfigurationsflow.

Netværkseksponeringsrisiko: Kan angribere nå loginoverfladen?

Direkte eksponering over internettet

Direkte RDP-eksponering forbliver det mest farlige almindelige mønster. Hvis TCP 3389 er tilgængelig fra det offentlige internet, bliver maskinen opdagelig for scannere og brute-force trafik. CISA rådgiver gentagne gange organisationer om at deaktivere porte og protokoller, der ikke er nødvendige for forretningsbrug, og nævner eksplicit RDP-port 3389 i flere ransomware- og trusselrådgivninger.

VPN, RD Gateway eller kontrolleret adgangsvej

En kontrolleret adgangsvej er sikrere, fordi den indsnævrer den udsatte hoveddør. Microsofts nuværende RDS oversigt angiver, at RD Gateway giver sikker, krypteret RDP-adgang over HTTPS fra eksterne netværk uden at åbne interne RDP-porte, og det understøtter MFA og betingede politikker. Det er en meget stærkere model end at eksponere RDP direkte.

Hvor passer TSplus Advanced Security ind?

TSplus Advanced Security er mest nyttig, når du har brug for mere kontrol over den eksponerede kant af Windows fjernadgang. Fra at blokere hackere til at beskytte Remote Desktop og applikationsservere, fra at begrænse tilladte lande til at sortliste fjendtlige IP'er, eller til automatisk at reagere på brute-force adfærd, har Advanced Security et 360° beskyttelsesomfang. For eksempel beskriver vores online dokumentation specifikt, hvordan Geographic Protection fungerer med Advanced Securitys indbyggede firewall. I mellemtiden sorterer Bruteforce Protection automatisk krænkende IP-adresser efter gentagne fejl.

Har du brug for stærkere kontrol over eksponeret remote access, men ønsker at undgå at påføre virksomhedskompleksitet? Du er velkommen til at starte din gratis TSplus Advanced Security prøveperiode og opdage, hvad det kan gøre med det samme samt i de næste 15 dage.

Konto Risiko: Hvem kan logge ind, og med hvilken privilegium?

Legitimationsoplysninger

Svage legitimationsoplysninger er stadig en af de hurtigste måder at miste kontrollen over en fjernadgangsmaskine. Adgang kun med adgangskode, delte administrator-konti og gamle servicelegitimationsoplysninger gør alle en håndterbar opsætning til et attraktivt mål. Selv når transporten er krypteret, underminerer dårlig identitetshygiejne hele designet.

Multifaktorautentifikation

MFA er en af de tydeligste måder at reducere den risiko på. Microsofts RDS planlægningsvejledning fortsætter med at centrere MFA i sikre fjernskrivebordsarbejdsgange, og TSplus 2FA er designet specifikt til at tilføje mindst en anden faktor til indkommende fjernadgang.

Mindst privilegium

Mindst privilegium er lige så vigtigt. På sikre RD-servere bør fjernloginrettigheder begrænses til navngivne grupper, administrationssessioner bør adskilles fra rutinemæssig brugeradgang, og inaktive konti bør deaktiveres. Hvis du ikke ved præcist, hvem der kan logge ind eksternt, er miljøet allerede svagere, end det ser ud.

Enhedsbruger låsning

For at give ekstra ro i sindet har vi gjort et ekstra lag af beskyttelse tilgængeligt i form af Pålidelige Enheder. Denne endpoint-sikkerhedsfunktion låser et brugernavn til sin sædvanlige enhed, hvilket muliggør hurtigere reaktion i tilfælde af, at den bliver tabt eller stjålet.

En 5-minutters selvevaluering for systemadministratorer

Kør denne hurtige kontrol, før du antager, at en maskine er sikker til Remote Desktop:

  1. Er port 3389 tilgængelig fra det offentlige internet?
  2. Er NLA aktiveret på den målrettede vært?
  3. Er fjernadgang formidlet gennem VPN, RD Gateway eller en anden kontrolleret vej?
  4. Er MFA påkrævet for fjernlogin?
  5. Er fjernloginrettigheder begrænset til den mindste nødvendige gruppe?
  6. Er TSplus Advanced Security eller tilsvarende beskyttelse blokering af brute-force og fjendtlige IP-aktiviteter?
  7. Er værten opdateret, overvåget og fri for forældede privilegerede konti?

Hvis svaret på det første spørgsmål er ja, og de næste tre er nej, skal maskinen betragtes som høj risiko.

Hvad skal rettes først

Systemadministratorer får normalt den største risikoreduktion fra sekvens, ikke fra volumen. Ret rækkefølgen af kontroller først.

Start med at fjerne direkte offentlig eksponering, hvor det er muligt. Stram derefter identiteten med MFA og mindre login-omfang. Herefter skal du styrke værten og tilføje aktive defensive kontroller omkring overfladen for fjernadgang.

For mange SMB- og mellemstore miljøer er det her, TSplus Advanced Security bliver både praktisk og essentielt. Produktet er udviklet til Windows fjernadgang og applikationsservere, og vores relaterede TSplus artikel om sikker fjernforbindelse til site udvider dette, og afkoder også, hvorfor Advanced Security er det primære beskyttelseslag for sikre fjernadgangsmiljøer.

Konklusion: Sikkerhed for Remote Desktop starter upstream

Hvor sikker din computer er mod fjernskrivebord afhænger mindre af Remote Desktop alene end af de kontroller, der er omkring det. Endpoint-holdning afgør, om maskinen er defensiv. Netværkseksponering afgør, om angribere kan nå login-fladen. Kontrol af konto afgør, om en gyldig login bliver en større hændelse.

Sådan er det praktiske svar på systemadministration. Hvis du vil beskytte fjernforbindelser godt, skal du ikke starte med sessionen. Start opstrøms med værten, eksponeringsvejen og identitetslaget. Når det er gjort, håndhæve disse beslutninger med værktøjer som TSplus Advanced Security og MFA-understøttet adgang.

Kom i gang i dag med altomfattende IT-server sikkerhed gjort enkelt .

Del:

Facebook Twitter LinkedIn

Dit TSplus Team

Yderligere læsning

back to top of the page icon