Θα θέλατε να δείτε την ιστοσελίδα σε διαφορετική γλώσσα;

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Αλλαγή γλώσσας
Πίνακας περιεχομένων
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Γιατί οι απομακρυσμένοι υπολογιστές απαιτούν ισχυρή ασφάλεια;

Η απομακρυσμένη επιφάνεια εργασίας δεν είναι αυτόματα ανασφαλής, αλλά, όπως κάθε τρόπος απομακρυσμένης σύνδεσης, δεν είναι ποτέ πιο ασφαλής από το σύστημα γύρω της. Για τους διαχειριστές συστημάτων, η σωστή ερώτηση δεν είναι αν η απομακρυσμένη επιφάνεια εργασίας είναι ασφαλής σε αφηρημένο επίπεδο. Η σωστή ερώτηση είναι αν το σημείο πρόσβασης, η διαδρομή έκθεσης δικτύου και οι έλεγχοι λογαριασμού είναι αρκετά ισχυροί για να την υποστηρίξουν.

Αυτή η διαμόρφωση έχει σημασία επειδή οι τρέχουσες οδηγίες της Microsoft εξακολουθούν να επικεντρώνονται στην ασφαλή απομακρυσμένη επιφάνεια εργασίας γύρω από την Αυθεντικοποίηση Επιπέδου Δικτύου (NLA), το RD Gateway, τα πιστοποιητικά TLS και το MFA αντί για άμεση δημόσια έκθεση. Συνεπώς, CISA και παρόμοιες οδηγίες συνεχώς ωθούν τους οργανισμούς να απενεργοποιούν την ανενεργή πρόσβαση RDP, να περιορίζουν τις επικίνδυνες υπηρεσίες και να επιβάλλουν την MFA, καθώς η εκτεθειμένη απομακρυσμένη πρόσβαση παραμένει μια κοινή οδός εισβολής. Παρ' όλα αυτά, πιστεύουμε ότι υπάρχει περισσότερη δουλειά να γίνει.

Ποιες τρεις αρχικές ελέγχοι καθορίζουν τον κίνδυνο του Remote Desktop;

Κίνδυνος τερματικού

Ο κίνδυνος του τερματικού είναι η κατάσταση της μηχανής ίδιας. Ένας πλήρως ενημερωμένος υπολογιστής Windows με σύγχρονη προστασία τερματικού, περιορισμένα δικαιώματα διαχειριστή και ελεγχόμενη συμπεριφορά συνεδρίας βρίσκεται σε πολύ διαφορετική θέση σε σύγκριση με έναν γηρασμένο διακομιστή με ευρεία τοπική πρόσβαση διαχειριστή και παρωχημένα διαπιστευτήρια. Οι ασφαλείς απομακρυσμένοι επιτραπέζιοι υπολογιστές ξεκινούν με έναν οικοδεσπότη που είναι ήδη αμυντικός πριν αρχίσει οποιαδήποτε απομακρυσμένη συνεδρία.

Κίνδυνος έκθεσης δικτύου

Ο κίνδυνος έκθεσης στο δίκτυο σχετίζεται με την προσβασιμότητα. Εάν μια επιφάνεια σύνδεσης είναι προσβάσιμη απευθείας από το διαδίκτυο, η μηχανή είναι εκτεθειμένη σε σάρωση, μαντεψιές κωδικών πρόσβασης και απόπειρες εκμετάλλευσης. Εάν ο ίδιος υπολογιστής είναι προσβάσιμος μόνο μέσω VPN, RD Gateway ή ενός αυστηρά διαχειριζόμενου επιπέδου πρόσβασης, ο κίνδυνος αλλάζει ουσιαστικά. Η Microsoft τοποθετεί ρητά το RD Gateway ως έναν τρόπο παροχής κρυπτογραφημένης πρόσβασης μέσω HTTPS χωρίς να ανοίγει εσωτερικές θύρες RDP.

Κίνδυνος λογαριασμού

Ο κίνδυνος λογαριασμού σχετίζεται με την ποιότητα ταυτότητας και τα προνόμια. Ένας ασφαλής διακομιστής γίνεται ανασφαλής γρήγορα όταν οι απομακρυσμένες συνδέσεις βασίζονται σε επαναχρησιμοποιημένους κωδικούς πρόσβασης, ανενεργούς λογαριασμούς διαχειριστή ή ευρείες εξουσιοδοτήσεις. Οι οδηγίες σχεδιασμού RDS της Microsoft συνεχίζουν να θεωρούν την MFA ως έναν βασικό έλεγχο για ασφαλή απομακρυσμένη πρόσβαση, ειδικά όταν η πρόσβαση μεσολαβείται μέσω του RD Gateway.

Γιατί αλλάζει η απάντηση για έναν οικιακό υπολογιστή, έναν σταθμό εργασίας γραφείου, έναν διακομιστή ή μια φάρμα και μεγαλύτερη υποδομή;

Οικιακοί Υπολογιστές

Ένας οικιακός υπολογιστής συνήθως έχει μικρότερη ακτίνα έκρηξης από έναν διακομιστή παραγωγής, αλλά συχνά διαχειρίζεται λιγότερο αυστηρά. Οι δρομολογητές καταναλωτών, η πρόχειρη προώθηση θυρών, οι αδύναμοι τοπικοί κωδικοί πρόσβασης και οι ασυνεπείς ενημερώσεις μπορούν να κάνουν ένα οικιακό σύστημα εκπληκτικά εκτεθειμένο. Ο κύριος κίνδυνος είναι συχνά η κακή διαμόρφωση παρά ο σκόπιμος σχεδιασμός επιχείρησης.

Εργασιακοί σταθμοί γραφείου

Ένας σταθμός εργασίας γραφείου συνήθως βρίσκεται μέσα σε ένα διαχειριζόμενο δίκτυο, αλλά αυτό δεν αφαιρεί τον κίνδυνο. Εάν ένας παραβιασμένος λογαριασμός χρήστη μπορεί να φτάσει στον σταθμό εργασίας απομακρυσμένα, ο σταθμός εργασίας μπορεί να γίνει σημείο στροφής για οριζόντια κίνηση, κλοπή δεδομένων ή κλιμάκωση προνομίων. Στην πράξη, οι τερματικοί σταθμοί γραφείου χρειάζονται τόσο υγιεινή τερματικού όσο και σαφή πολιτική απομακρυσμένης πρόσβασης.

Windows servers

Ένας διακομιστής Windows έχει τις υψηλότερες συνέπειες. Η απομακρυσμένη πρόσβαση σε έναν διακομιστή αρχείων, διακομιστή εφαρμογών ή Host Συνεδρίας Απομακρυσμένης Επιφάνειας Εργασίας σημαίνει ότι ο επιτιθέμενος είναι πιο κοντά σε κρίσιμα δεδομένα, κοινές υπηρεσίες και εργαλεία διαχείρισης. Γι' αυτό οι ασφαλείς διακομιστές RD χρειάζονται αυστηρότερους ελέγχους ταυτότητας, στενότερη έκθεση και ενεργούς αμυντικούς ελέγχους στην επιφάνεια σύνδεσης.

Φάρμες και μεγαλύτερες υποδομές

Σε μια φάρμα ή μεγαλύτερη υποδομή απομακρυσμένης πρόσβασης, ο κίνδυνος δεν συνδέεται πλέον μόνο με μία μηχανή. Ένας μόνο αδύναμος σταθμός εργασίας, ένας εκτεθειμένος διακομιστής ή ένας υπερβολικά εξουσιοδοτημένος λογαριασμός διαχειριστή μπορεί να επηρεάσει ολόκληρο το περιβάλλον που περιλαμβάνει δημοσιευμένες εφαρμογές, διακομιστές Remote Desktop, διαδικτυακές πύλες, πύλες και υποστηρικτικά συστήματα διαχείρισης. Για τους ISVs, MSPs και τις ομάδες IT επιχειρήσεων, η πραγματική πρόκληση είναι συνοχή σε πολλά σημεία πρόσβασης και διαδρομές πρόσβασης .

Αυτό αλλάζει την ερώτηση ασφαλείας με δύο τρόπους.

Κοινή έκθεση

Πρώτον, οι διαχειριστές πρέπει να σκέφτονται με όρους κοινής έκθεσης αντί για απομονωμένους υπολογιστές.

Επεκτάσιμες ρυθμίσεις

Δεύτερον, χρειάζονται ελέγχους που να κλιμακώνονται σε μικτές περιβάλλοντα, συμπεριλαμβανομένων των σταθμών εργασίας χρηστών, ασφαλών RD διακομιστών και συστημάτων που είναι εκτεθειμένα στο διαδίκτυο.

Σε αυτό το πλαίσιο, η προστασία των απομακρυσμένων συνδέσεων σημαίνει την τυποποίηση της πολιτικής, τη μείωση της επιφάνειας επίθεσης σε όλη την περιουσία και την κεντρική παρακολούθηση της αυθεντικοποίησης και της συμπεριφοράς των συνεδριών αντί για κάθε υπολογιστή ξεχωριστά.

Κίνδυνος Τερματικού: Είναι ο Φορέας Έτοιμος για Απομακρυσμένη Πρόσβαση;

Πριν προστατεύσετε τις απομακρυσμένες συνδέσεις, επαληθεύστε ότι ο κεντρικός υπολογιστής αξίζει να εκτεθεί. Ξεκινήστε με την τακτική ενημέρωσης, την προστασία τερματικών, την έκταση του τοπικού διαχειριστή και την υγιεινή των αποθηκευμένων διαπιστευτηρίων. Το NLA βοηθά στη μείωση της ρύθμισης μη αυθεντικοποιημένων συνεδριών, αλλά δεν αντισταθμίζει μια κακώς συντηρημένη μηχανή. Η Microsoft εξακολουθεί να προτείνει το NLA επειδή οι χρήστες αυθεντικοποιούνται. πριν από την έναρξη μιας συνεδρίας , το οποίο μειώνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης και περιορίζει τη δέσμευση πόρων σε αυθεντικοποιημένους χρήστες.

Για μια γρήγορη ανασκόπηση του endpoint, ελέγξτε αυτά τα στοιχεία:

  1. Είναι το λειτουργικό σύστημα πλήρως ενημερωμένο και υποστηριζόμενο;
  2. Είναι μόνο οι απαιτούμενοι χρήστες στην ομάδα Χρηστών Απομακρυσμένης Επιφάνειας Εργασίας;
  3. Είναι περιορισμένα τα δικαιώματα τοπικού διαχειριστή;
  4. Είναι ενεργή και παρακολουθείται η προστασία τερματικού;
  5. Εξετάζονται τα αποθηκευμένα διαπιστευτήρια, οι αποθηκευμένες συνεδρίες και οι ανενεργοί λογαριασμοί τακτικά;

Αυτό είναι επίσης το σημείο όπου η TSplus Advanced Security ταιριάζει καλά ως ένα ανώτερο επίπεδο ενίσχυσης. Το λογισμικό Advanced Security μας είναι ένα εργαλείο για την ασφάλεια των διακομιστών εφαρμογών και του Remote Desktop. Από την τακτικά ενημερωμένη τεκμηρίωσή μας, αξίζει να επισημάνουμε μερικά από τα πιο σχετικά χαρακτηριστικά, δηλαδή την προστασία από επιθέσεις Brute force, την γεωγραφική προστασία και την προστασία από Ransomware, από τη ροή αρχικής διαμόρφωσης.

Κίνδυνος Έκθεσης Δικτύου: Μπορούν οι Επιτιθέμενοι να Φτάσουν στην Επιφάνεια Σύνδεσης;

Άμεση έκθεση μέσω του διαδικτύου

Η άμεση έκθεση RDP παραμένει το πιο επικίνδυνο κοινό μοτίβο. Εάν το TCP 3389 είναι προσβάσιμο από το δημόσιο διαδίκτυο, η μηχανή γίνεται αναγνωρίσιμη σε σαρωτές και σε κυκλοφορία brute-force. Η CISA επανειλημμένα συμβουλεύει τις οργανώσεις να απενεργοποιούν θύρες και πρωτόκολλα που δεν απαιτούνται για επιχειρηματική χρήση, αναφέροντας ρητά την θύρα RDP 3389 σε πολλές προειδοποιήσεις για ransomware και απειλές.

VPN, RD Gateway ή ελεγχόμενη διαδρομή πρόσβασης

Ένας ελεγχόμενος δρόμος πρόσβασης είναι πιο ασφαλής επειδή περιορίζει την εκτεθειμένη μπροστινή πόρτα. Η τρέχουσα κατάσταση της Microsoft Επισκόπηση RDS δηλώνει ότι το RD Gateway παρέχει ασφαλή, κρυπτογραφημένη πρόσβαση RDP μέσω HTTPS από εξωτερικά δίκτυα χωρίς να ανοίγει εσωτερικές θύρες RDP, και υποστηρίζει MFA και πολιτικές υπό όρους. Αυτό είναι ένα πολύ πιο ισχυρό μοντέλο από το να εκθέτει το RDP απευθείας.

Πού ταιριάζει η TSplus Advanced Security;

TSplus Advanced Security είναι πιο χρήσιμο όταν χρειάζεστε περισσότερη έλεγχο πάνω στην εκτεθειμένη πλευρά της απομακρυσμένης πρόσβασης Windows. Από το να μπλοκάρετε τους χάκερ μέχρι την προστασία των Remote Desktop και των διακομιστών εφαρμογών, από τον περιορισμό των επιτρεπόμενων χωρών μέχρι την προσθήκη σε μαύρη λίστα εχθρικών IPs, ή για την αυτόματη απάντηση σε συμπεριφορές brute-force, το Advanced Security έχει πεδίο προστασίας 360°. Για παράδειγμα, η διαδικτυακή μας τεκμηρίωση περιγράφει συγκεκριμένα την Γεωγραφική Προστασία που λειτουργεί με το ενσωματωμένο τείχος προστασίας του Advanced Security. Εν τω μεταξύ, η Bruteforce Protection προσθέτει αυτόματα σε μαύρη λίστα τις επιθετικές διευθύνσεις IP μετά από επαναλαμβανόμενες αποτυχίες.

Χρειάζεστε ισχυρότερο έλεγχο πάνω στην εκτεθειμένη απομακρυσμένη πρόσβαση αλλά θέλετε να αποφύγετε την προσθήκη πολυπλοκότητας στην επιχείρηση; Είστε ευπρόσδεκτοι να ξεκινήσετε τη δωρεάν δοκιμή του TSplus Advanced Security και να ανακαλύψετε τι μπορεί να κάνει άμεσα καθώς και κατά τη διάρκεια των επόμενων 15 ημερών.

Κίνδυνος Λογαριασμού: Ποιος Μπορεί να Συνδεθεί και Με Ποιο Προνόμιο;

Διαπιστευτήρια

Οι αδύναμες διαπιστεύσεις είναι ακόμα ένας από τους ταχύτερους τρόπους για να χάσετε τον έλεγχο μιας μηχανής που είναι προσβάσιμη από απόσταση. Η πρόσβαση μόνο με κωδικό πρόσβασης, οι κοινές λογαριασμοί διαχειριστή και οι παλιές διαπιστεύσεις υπηρεσίας μετατρέπουν μια διαχειρίσιμη ρύθμιση σε ελκυστικό στόχο. Ακόμα και όταν η μεταφορά είναι κρυπτογραφημένη, η κακή υγιεινή ταυτότητας υπονομεύει ολόκληρο το σχέδιο.

Πολλαπλή αυθεντικοποίηση

Η MFA είναι ένας από τους πιο σαφείς τρόπους για να μειωθεί αυτός ο κίνδυνος. Οι οδηγίες σχεδιασμού RDS της Microsoft συνεχίζουν να επικεντρώνονται στην MFA σε ασφαλείς ροές εργασίας απομακρυσμένου επιτραπέζιου υπολογιστή, και η 2FA της TSplus έχει σχεδιαστεί ειδικά για να προσθέτει τουλάχιστον έναν δεύτερο παράγοντα στην εισερχόμενη απομακρυσμένη πρόσβαση.

Ελάχιστη προνόμια

Η αρχή της ελάχιστης προνομίας είναι εξίσου σημαντική. Σε ασφαλείς RD διακομιστές, τα δικαιώματα απομακρυσμένης σύνδεσης θα πρέπει να περιορίζονται σε ονομαστικές ομάδες, οι συνεδρίες διαχειριστή θα πρέπει να διαχωρίζονται από την κανονική πρόσβαση χρηστών, και οι ανενεργοί λογαριασμοί θα πρέπει να απενεργοποιούνται. Εάν δεν γνωρίζετε ακριβώς ποιος μπορεί να συνδεθεί απομακρυσμένα, το περιβάλλον είναι ήδη πιο αδύναμο από ό,τι φαίνεται.

Κλείδωμα συσκευής-χρήστη

Για επιπλέον ηρεμία, προσθέσαμε μια επιπλέον στρώση προστασίας διαθέσιμη με τη μορφή Εμπιστευμένων Συσκευών. Αυτή η δυνατότητα ασφάλειας τερματικού κλειδώνει ένα όνομα χρήστη στη συνήθη συσκευή του, επιτρέποντας έτσι ταχύτερη αντίδραση σε περίπτωση που χαθεί ή κλαπεί.

Ένας 5-λεπτος αυτοέλεγχος για διαχειριστές συστημάτων

Κάντε αυτήν την γρήγορη έλεγχο πριν υποθέσετε ότι μια μηχανή είναι ασφαλής για Remote Desktop:

  1. Είναι η θύρα 3389 προσβάσιμη από το δημόσιο διαδίκτυο;
  2. Είναι ενεργοποιημένο το NLA στον προορισμό;
  3. Είναι η απομακρυσμένη πρόσβαση μεσολαβούμενη μέσω VPN, RD Gateway ή άλλης ελεγχόμενης διαδρομής;
  4. Επιβάλλεται η MFA για απομακρυσμένες συνδέσεις;
  5. Οι δικαιώματα απομακρυσμένης σύνδεσης περιορίζονται στην μικρότερη απαραίτητη ομάδα;
  6. Είναι το TSplus Advanced Security ή ισοδύναμη προστασία μπλοκάρισμα brute-force και εχθρική δραστηριότητα IP;
  7. Είναι ο διακομιστής ενημερωμένος, παρακολουθείται και χωρίς παλιές προνομιακές λογαριασμούς;

Εάν η απάντηση στην πρώτη ερώτηση είναι ναι και οι επόμενες τρεις είναι όχι, θεωρήστε τη μηχανή ως υψηλού κινδύνου.

Τι να διορθώσετε πρώτα

Οι διαχειριστές συστημάτων συνήθως αποκτούν τη μεγαλύτερη μείωση κινδύνου από τη σειρά, όχι από τον όγκο. Διορθώστε πρώτα τη σειρά των ελέγχων.

Αρχίστε αφαιρώντας την άμεση δημόσια έκθεση όπου είναι δυνατόν. Στη συνέχεια, ενισχύστε την ταυτότητα με MFA και μικρότερες περιοχές σύνδεσης. Μετά από αυτό, σκληρύνετε τον διακομιστή και προσθέστε ενεργούς αμυντικούς ελέγχους γύρω από την επιφάνεια πρόσβασης.

Για πολλές μικρές και μεσαίες επιχειρήσεις, εκεί είναι που η TSplus Advanced Security γίνεται τόσο πρακτική όσο και απαραίτητη. Το προϊόν έχει αναπτυχθεί για διακομιστές απομακρυσμένης πρόσβασης Windows και εφαρμογών, και το σχετικό άρθρο μας για την TSplus σχετικά με ασφαλής απομακρυσμένη σύνδεση ιστότοπου επικεντρώνεται σε αυτό, αποκωδικοποιώντας επίσης γιατί η Advanced Security είναι το κύριο επίπεδο προστασίας για ασφαλή περιβάλλοντα απομακρυσμένης πρόσβασης.

Συμπέρασμα: Η ασφάλεια του απομακρυσμένου επιτραπέζιου υπολογιστή ξεκινά από την πηγή

Το πόσο ασφαλής είναι ο υπολογιστής σας από την απομακρυσμένη επιφάνεια εργασίας εξαρτάται λιγότερο από την απομακρυσμένη επιφάνεια εργασίας και περισσότερο από τους ελέγχους γύρω από αυτήν. Η στάση του τερματικού αποφασίζει αν η μηχανή είναι αμυντική. Η έκθεση δικτύου αποφασίζει αν οι επιτιθέμενοι μπορούν να φτάσουν στην επιφάνεια σύνδεσης. Ο έλεγχος λογαριασμού αποφασίζει αν μια έγκυρη σύνδεση γίνεται σοβαρό περιστατικό.

Τέτοια είναι η πρακτική απάντηση για τη διαχείριση συστημάτων. Αν θέλετε να προστατεύσετε καλά τις απομακρυσμένες συνδέσεις, μην ξεκινήσετε με τη συνεδρία. Ξεκινήστε ανάντη με τον υπολογιστή, τη διαδρομή έκθεσης και το επίπεδο ταυτότητας. Μόλις γίνει αυτό, επιβάλετε αυτές τις αποφάσεις με εργαλεία όπως το TSplus Advanced Security και την πρόσβαση υποστηριζόμενη από MFA.

Ξεκινήστε σήμερα με όλη η ασφάλεια IT server απλή .

Κοινοποίηση:

Facebook Twitter LinkedIn

Περισσότερη ανάγνωση

TSplus Remote Desktop Access - Advanced Security Software

Τι είναι το κλειδί ασφαλείας δικτύου και γιατί έχει σημασία;

Μάθετε τι είναι ένα κλειδί ασφαλείας δικτύου, πώς να το βρείτε, να διορθώσετε σφάλματα ασυμφωνίας και να εξασφαλίσετε την πρόσβαση στο δίκτυο πέρα από τους κοινόχρηστους κωδικούς Wi-Fi με ισχυρότερους ελέγχους.

Διαβάστε το άρθρο →
TSplus Remote Desktop Access - Advanced Security Software

Μπορεί να παραβιαστεί η Απομακρυσμένη Επιφάνεια Εργασίας; Ένα Πρακτικό Σκορ Κινδύνου για Πρόληψη

Μπορεί να παραβιαστεί η απομακρυσμένη επιφάνεια εργασίας; Ναι, η απομακρυσμένη επιφάνεια εργασίας μπορεί να παραβιαστεί. Χρησιμοποιήστε μια πρακτική βαθμολογία κινδύνου για να μειώσετε την έκθεση, να ενισχύσετε την ταυτότητα και να ασφαλίσετε την πρόσβαση RDP, HTML5 και VDI.

Διαβάστε το άρθρο →
TSplus Remote Desktop Access - Advanced Security Software

Πρωτόκολλο Απομακρυσμένης Επιφάνειας Εργασίας Ransomware: Μηχανική Ανίχνευσης Αντιμετώπιση Εισβολών που Οδηγούνται από RDP

Ανιχνεύστε το κακόβουλο λογισμικό Ransomware του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας νωρίς, δημιουργήστε τηλεμετρία υψηλής σήμανσης, βασικές γραμμές, ειδοποιήσεις και πρακτικά βήματα τριγιάζ, και σχεδιάστε απαντήσεις για να αντιμετωπίσετε τις εισβολές που οδηγούνται από RDP.

Διαβάστε το άρθρο →
TSplus Remote Desktop Access - Advanced Security Software

Ασφαλής Πύλη Ιστού για Διακομιστές Εφαρμογών

Αναζητάτε μια ασφαλή πύλη ιστού για τους διακομιστές εφαρμογών σας; Ανακαλύψτε ποιες θέσεις το TSplus Advanced Security ως μια ισχυρή ασφαλή πύλη ιστού, που έχει αναπτυχθεί για να προστατεύει τους διακομιστές εφαρμογών από μια εκτενή γκάμα κυβερνοαπειλών.

Διαβάστε το άρθρο →
back to top of the page icon