آیا می‌خواهید سایت را به زبان دیگری ببینید؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغییر زبان
فهرست مطالب

معرفی

پروتکل دسکتاپ از راه دور (RDP) همچنان یک جزء حیاتی از عملیات IT است، اما به طور مکرر توسط حمله‌کنندگان که از رمزهای عبور ضعیف یا تکراری سوءاستفاده می‌کنند، مورد سوءاستفاده قرار می‌گیرد. MFA به طور قابل توجهی امنیت RDP را تقویت می‌کند، اما بسیاری از سازمان‌ها نمی‌توانند از تلفن‌های همراه برای احراز هویت استفاده کنند. این محدودیت در محیط‌های تنظیم‌شده، جدا شده از شبکه و با تعداد زیاد پیمانکاران که در آن‌ها MFA موبایل امکان‌پذیر نیست، ظاهر می‌شود. این مقاله روش‌های عملی برای اجرای MFA برای RDP بدون استفاده از تلفن‌ها از طریق توکن‌های سخت‌افزاری، احراز هویت‌کننده‌های مبتنی بر دسکتاپ و پلتفرم‌های MFA محلی را بررسی می‌کند.

چرا دسترسی RDP سنتی به تقویت نیاز دارد

نقاط پایانی RDP هدف جذابی را ارائه می‌دهند زیرا یک رمز عبور نفوذ شده می‌تواند دسترسی مستقیم به یک میزبان ویندوز را فراهم کند. افشای RDP اعتماد به احراز هویت VPN به‌طور عمومی یا صرفاً بر روی آن، خطر تلاش‌های حمله به روش brute-force و حملات استفاده مجدد از اعتبارنامه‌ها را افزایش می‌دهد. حتی استقرارهای RD Gateway نیز زمانی که MFA غایب یا به‌درستی پیکربندی نشده باشد، آسیب‌پذیر می‌شوند. گزارش‌های CISA و مایکروسافت همچنان به شناسایی نفوذ RDP به‌عنوان یک وکتور دسترسی اولیه عمده برای گروه‌های باج‌افزاری ادامه می‌دهند.

برنامه‌های موبایل MFA راحتی را فراهم می‌کنند، اما برای هر محیطی مناسب نیستند. شبکه‌های با امنیت بالا اغلب به‌طور کامل تلفن‌ها را ممنوع می‌کنند و سازمان‌هایی که قوانین سخت‌گیرانه‌ای برای انطباق دارند، باید به سخت‌افزارهای احراز هویت اختصاصی تکیه کنند. این محدودیت‌ها باعث می‌شود توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های مبتنی بر دسکتاپ گزینه‌های ضروری باشند.

احراز هویت چندعاملی بدون تلفن برای RDP: چه کسی به آن نیاز دارد و چرا

بسیاری از بخش‌ها نمی‌توانند به تلفن‌های همراه برای احراز هویت وابسته باشند به دلیل محدودیت‌های عملیاتی یا کنترل‌های حریم خصوصی. سیستم‌های کنترل صنعتی، دفاع و محیط‌های تحقیقاتی به‌طور مکرر در شرایط ایزوله فعالیت می‌کنند که استفاده از دستگاه‌های خارجی را ممنوع می‌کند. پیمانکارانی که بر روی نقاط پایانی بدون مدیریت کار می‌کنند نیز نمی‌توانند برنامه‌های MFA شرکتی را نصب کنند و این موضوع گزینه‌های احراز هویت موجود را محدود می‌کند.

چارچوب‌های تنظیم‌شده‌ای مانند PCI-DSS و NIST SP 800-63 اغلب استفاده از دستگاه‌های احراز هویت اختصاصی را توصیه یا اجباری می‌کند. سازمان‌هایی که اتصال ضعیف یا غیرقابل اعتمادی دارند نیز از MFA بدون تلفن بهره‌مند می‌شوند زیرا توکن‌های سخت‌افزاری و برنامه‌های دسکتاپ به‌طور کامل آفلاین کار می‌کنند. این عوامل نیاز قوی به روش‌های جایگزین MFA ایجاد می‌کنند که به فناوری موبایل وابسته نیستند.

بهترین روش‌ها برای MFA برای RDP بدون تلفن‌ها

توکن‌های سخت‌افزاری برای احراز هویت چندعاملی RDP

توکن‌های سخت‌افزاری احراز هویت آفلاین و مقاوم در برابر دستکاری را با رفتار ثابت در محیط‌های کنترل‌شده ارائه می‌دهند. آن‌ها وابستگی به دستگاه‌های شخصی را از بین می‌برند و از انواع عوامل قوی پشتیبانی می‌کنند. مثال‌های رایج شامل:

  • توکن‌های سخت‌افزاری TOTP کدهای مبتنی بر زمان را برای سرورهای RADIUS یا MFA تولید می‌کنند.
  • کلیدهای FIDO2/U2F ارائه‌دهنده احراز هویت مقاوم در برابر فیشینگ.
  • کارت‌های هوشمند یکپارچه با PKI برای تأیید هویت با اطمینان بالا.

این توکن‌ها با RDP از طریق سرورهای RADIUS، افزونه‌های NPS یا پلتفرم‌های MFA محلی که OATH TOTP را پشتیبانی می‌کنند، یکپارچه می‌شوند، فیدو2 یا کارهای مربوط به کارت هوشمند. استقرار کارت‌های هوشمند ممکن است به نرم‌افزار میان‌افزاری اضافی نیاز داشته باشد، اما آنها همچنان یک استاندارد در بخش‌های دولتی و زیرساختی باقی می‌مانند. با اجرای مناسب دروازه یا عامل، توکن‌های سخت‌افزاری احراز هویت قوی و بدون نیاز به تلفن را برای جلسات RDP تضمین می‌کنند.

برنامه‌های احراز هویت مبتنی بر دسکتاپ

برنامه‌های TOTP دسکتاپ کدهای MFA را به‌صورت محلی بر روی یک ایستگاه کاری تولید می‌کنند و به جای اتکا به دستگاه‌های همراه، گزینه‌ای عملی بدون تلفن برای کاربرانی که در محیط‌های مدیریت‌شده ویندوز فعالیت می‌کنند، ارائه می‌دهند. راه‌حل‌های رایج شامل:

  • WinAuth، یک تولیدکننده TOTP سبک برای ویندوز.
  • Authy Desktop پشتیبانی از نسخه‌های پشتیبان رمزگذاری شده و چند دستگاهی را ارائه می‌دهد.
  • KeePass با افزونه‌های OTP، ترکیب مدیریت رمز عبور با تولید MFA.

این ابزارها با RDP زمانی که با یک عامل MFA یا پلتفرم مبتنی بر RADIUS جفت شوند، یکپارچه می‌شوند. افزونه NPS مایکروسافت از توکن‌های OTP با ورود کد پشتیبانی نمی‌کند، بنابراین معمولاً سرورهای MFA شخص ثالث برای RD Gateway و ورود مستقیم به ویندوز مورد نیاز هستند. احراز هویت‌کننده‌های دسکتاپ به‌ویژه در زیرساخت‌های کنترل‌شده که سیاست‌های دستگاه ذخیره‌سازی امن بذرهای احراز هویت را تحمیل می‌کنند، مؤثر هستند.

چگونه MFA را برای RDP بدون تلفن‌ها پیاده‌سازی کنیم؟

گزینه ۱: دروازه RD + افزونه NPS + توکن‌های سخت‌افزاری

سازمان‌هایی که در حال حاضر از RD Gateway استفاده می‌کنند، می‌توانند با ادغام یک سرور MFA مبتنی بر RADIUS سازگار، MFA بدون تلفن را اضافه کنند. این معماری از RD Gateway برای کنترل جلسه، NPS برای ارزیابی سیاست و یک پلاگین MFA شخص ثالث که قادر به پردازش TOTP یا اعتبارنامه‌های سخت‌افزاری است، استفاده می‌کند. از آنجا که افزونه NPS مایکروسافت تنها از MFA مبتنی بر ابر Entra پشتیبانی می‌کند، بیشتر استقرارهای بدون تلفن به سرورهای MFA مستقل وابسته هستند.

این مدل MFA را قبل از اینکه یک جلسه RDP به میزبان‌های داخلی برسد، اعمال می‌کند و دفاع در برابر دسترسی غیرمجاز را تقویت می‌کند. سیاست‌ها می‌توانند به کاربران خاص، مبداهای اتصال یا نقش‌های مدیریتی هدف بزنند. اگرچه معماری پیچیده‌تر از قرار گرفتن مستقیم RDP است، اما این امکان را فراهم می‌کند. امنیت قوی برای سازمان‌هایی که قبلاً در RD Gateway سرمایه‌گذاری کرده‌اند.

گزینه ۲: MFA محلی با عامل RDP مستقیم

استقرار یک عامل MFA به طور مستقیم بر روی میزبان‌های ویندوز، MFA بسیار انعطاف‌پذیر و مستقل از ابر را برای RDP امکان‌پذیر می‌سازد. این عامل ورودها را قطع کرده و از کاربران می‌خواهد که با استفاده از توکن‌های سخت‌افزاری، کارت‌های هوشمند یا کدهای TOTP تولید شده توسط دسکتاپ احراز هویت کنند. این رویکرد به طور کامل آفلاین است و برای محیط‌های ایزوله یا محدود ایده‌آل است.

سرورهای MFA محلی مدیریت متمرکز، اجرای سیاست و ثبت‌نام توکن را فراهم می‌کنند. مدیران می‌توانند قوانین را بر اساس زمان روز، منبع شبکه، هویت کاربر یا سطح دسترسی پیاده‌سازی کنند. از آنجا که احراز هویت به‌طور کامل محلی است، این مدل تضمین می‌کند که حتی زمانی که اتصال اینترنت در دسترس نیست، تداوم وجود دارد.

موارد استفاده واقعی برای احراز هویت چندعاملی بدون تلفن

احراز هویت چندعاملی بدون تلفن در شبکه‌هایی که تحت قوانین سختگیرانه انطباق و امنیت قرار دارند، رایج است. محیط‌های PCI-DSS، CJIS و بهداشت و درمان به احراز هویت قوی نیاز دارند بدون اینکه به دستگاه‌های شخصی وابسته باشند. تأسیسات ایزوله، آزمایشگاه‌های تحقیقاتی و شبکه‌های صنعتی نمی‌توانند اجازه اتصال خارجی یا حضور تلفن‌های هوشمند را بدهند.

سازمان‌های بزرگ پیمانکار از MFA موبایل برای جلوگیری از پیچیدگی‌های ثبت‌نام در دستگاه‌های غیرمدیریتی پرهیز می‌کنند. در تمام این موارد، توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های دسکتاپ احراز هویت قوی و ثابتی را فراهم می‌کنند.

بسیاری از سازمان‌ها همچنین MFA بدون تلفن را برای حفظ جریان‌های احراز هویت قابل پیش‌بینی در محیط‌های مختلط اتخاذ می‌کنند، به‌ویژه در جایی که کاربران به‌طور مکرر تغییر می‌کنند یا جایی که هویت باید به دستگاه‌های فیزیکی متصل بماند. توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های دسکتاپ وابستگی به تجهیزات شخصی را کاهش می‌دهند، فرآیند ورود را ساده‌تر می‌کنند و قابلیت حسابرسی را بهبود می‌بخشند.

این سازگاری به تیم‌های IT این امکان را می‌دهد که یکپارچگی را تحمیل کنند سیاست های امنیتی حتی زمانی که در سایت‌های دورافتاده، ایستگاه‌های کاری مشترک یا سناریوهای دسترسی موقت فعالیت می‌کنید.

بهترین شیوه‌ها برای پیاده‌سازی MFA بدون تلفن‌ها

سازمان‌ها باید با ارزیابی توپولوژی RDP خود شروع کنند—چه از RDP مستقیم، RD Gateway، یا یک تنظیم ترکیبی استفاده کنند—تا نقطه اجرای کارآمدترین را تعیین کنند. آن‌ها باید انواع توکن‌ها را بر اساس قابلیت استفاده، مسیرهای بازیابی و انتظارات انطباق ارزیابی کنند. پلتفرم‌های MFA محلی برای محیط‌هایی که به تأیید آفلاین و کنترل کامل مدیریتی نیاز دارند، توصیه می‌شوند.

MFA باید حداقل برای دسترسی خارجی و حساب‌های دارای امتیاز اجباری باشد. توکن‌های پشتیبان و رویه‌های بازیابی تعریف‌شده از قفل شدن در طول مشکلات ثبت‌نام جلوگیری می‌کنند. آزمایش کاربر اطمینان می‌دهد که MFA با نیازهای عملیاتی هم‌راستا است و از اصطکاک غیرضروری در جریان‌های کاری روزانه جلوگیری می‌کند.

تیم‌های IT همچنین باید مدیریت چرخه عمر توکن را زودتر برنامه‌ریزی کنند، از جمله ثبت‌نام، ابطال، جایگزینی و ذخیره‌سازی امن کلیدهای اولیه هنگام استفاده از TOTP. ایجاد یک مدل حکمرانی واضح اطمینان می‌دهد که عوامل MFA قابل ردیابی و مطابق با سیاست‌های داخلی باقی بمانند. ترکیب این اقدامات با بررسی‌های دوره‌ای دسترسی و آزمایش‌های منظم، به حفظ یک استقرار پایدار MFA بدون تلفن کمک می‌کند که با الزامات عملیاتی در حال تحول هم‌راستا باقی بماند.

چرا تأمین RDP بدون تلفن‌ها کاملاً عملی است

احراز هویت چندعاملی بدون تلفن یک گزینه پشتیبان نیست - این یک قابلیت ضروری برای سازمان‌هایی است که دارای مرزهای عملیاتی یا نظارتی سختگیرانه هستند. توکن‌های سخت‌افزاری، تولیدکننده‌های TOTP دسکتاپ، کلیدهای FIDO2 و کارت‌های هوشمند همگی احراز هویت قوی و ثابتی را بدون نیاز به گوشی‌های هوشمند فراهم می‌کنند.

زمانی که این روش‌ها در سطح دروازه یا نقطه پایانی پیاده‌سازی شوند، به‌طور قابل‌توجهی در معرض حملات اعتبارنامه و تلاش‌های دسترسی غیرمجاز کاهش می‌یابند. این موضوع MFA بدون تلفن را به یک انتخاب عملی، ایمن و مطابق با الزامات برای محیط‌های مدرن RDP تبدیل می‌کند.

MFA بدون تلفن همچنین ثبات عملیاتی بلندمدت را ارائه می‌دهد زیرا وابستگی‌ها به سیستم‌های عامل موبایل، به‌روزرسانی‌های برنامه یا تغییرات مالکیت دستگاه را حذف می‌کند. سازمان‌ها کنترل کامل بر سخت‌افزار احراز هویت را به دست می‌آورند و تنوع را کاهش داده و پتانسیل مشکلات سمت کاربر را به حداقل می‌رسانند.

با گسترش یا تنوع زیرساخت‌ها، این استقلال از راه‌اندازی‌های روان‌تر پشتیبانی می‌کند و اطمینان می‌دهد که حفاظت قوی RDP به‌طور پایدار بدون اتکا به اکوسیستم‌های موبایل خارجی باقی می‌ماند.

چگونه TSplus احراز هویت چندعاملی RDP را بدون تلفن‌ها با TSplus Advanced Security تقویت می‌کند

TSplus Advanced Security حفاظت RDP را با فعال‌سازی MFA بدون نیاز به تلفن همراه با توکن‌های سخت‌افزاری، اجرای محلی و کنترل‌های دسترسی دقیق تقویت می‌کند. طراحی سبک و مستقل از ابر آن برای شبکه‌های ترکیبی و محدود مناسب است و به مدیران این امکان را می‌دهد که MFA را به‌صورت انتخابی اعمال کنند، چندین میزبان را به‌طور مؤثر ایمن کنند و سیاست‌های احراز هویت یکسانی را اجرا کنند. با استقرار ساده و پیکربندی انعطاف‌پذیر، امنیت قوی و عملی RDP را بدون وابستگی به دستگاه‌های همراه ارائه می‌دهد.

نتیجه

تأمین RDP بدون تلفن‌های همراه نه تنها ممکن است بلکه به طور فزاینده‌ای ضروری است. توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های مبتنی بر دسکتاپ مکانیزم‌های MFA قابل اعتماد، مطابق و آفلاین را برای محیط‌های پرچالش ارائه می‌دهند. با ادغام این روش‌ها از طریق RD Gateway، سرورهای MFA محلی یا عوامل محلی، سازمان‌ها می‌توانند به طور قابل توجهی وضعیت امنیت RDP خود را تقویت کنند. با راه‌حل‌هایی مانند TSplus Advanced Security اجرای MFA بدون گوشی‌های هوشمند ساده، قابل تنظیم و کاملاً هماهنگ با محدودیت‌های عملیاتی دنیای واقعی می‌شود.

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالعه بیشتر

TSplus Remote Desktop Access - Advanced Security Software

صفر اعتماد برای دسترسی از راه دور SMB: یک طرح عملی

یاد بگیرید که چگونه کسب‌وکارهای کوچک و متوسط می‌توانند اصول اعتماد صفر را برای تأمین دسترسی از راه دور بدون پیچیدگی‌های سازمانی به کار ببرند. این راهنما یک طرح ۰ تا ۹۰ روزه را ارائه می‌دهد که بر هویت، اعتماد به دستگاه، حداقل دسترسی و نظارت تمرکز دارد تا ریسک را کاهش دهد و امنیت کار از راه دور را تقویت کند.

مقاله را بخوانید
TSplus Remote Desktop Access - Advanced Security Software

سرویس امنیتی لبه (SSE) چیست؟ نحوه عملکرد، عملکردهای اصلی، مزایا و موارد استفاده

بیاموزید که Security Service Edge (SSE) چیست و چگونه ZTNA، SWG، CASB و FWaaS برای تأمین دسترسی در کارهای هیبریدی ترکیب می‌شوند. مزایا، موارد استفاده، چالش‌ها و اینکه چگونه TSplus SSE را تقویت می‌کند، بررسی کنید.

مقاله را بخوانید
back to top of the page icon