آیا می‌خواهید سایت را به زبان دیگری ببینید؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغییر زبان
فهرست مطالب

معرفی

پروتکل دسکتاپ از راه دور (RDP) همچنان یک جزء حیاتی از عملیات IT است، اما به طور مکرر توسط حمله‌کنندگان که از رمزهای عبور ضعیف یا تکراری سوءاستفاده می‌کنند، مورد سوءاستفاده قرار می‌گیرد. MFA به طور قابل توجهی امنیت RDP را تقویت می‌کند، اما بسیاری از سازمان‌ها نمی‌توانند از تلفن‌های همراه برای احراز هویت استفاده کنند. این محدودیت در محیط‌های تنظیم‌شده، جدا شده از شبکه و با تعداد زیاد پیمانکاران که در آن‌ها MFA موبایل امکان‌پذیر نیست، ظاهر می‌شود. این مقاله روش‌های عملی برای اجرای MFA برای RDP بدون استفاده از تلفن‌ها از طریق توکن‌های سخت‌افزاری، احراز هویت‌کننده‌های مبتنی بر دسکتاپ و پلتفرم‌های MFA محلی را بررسی می‌کند.

چرا دسترسی RDP سنتی به تقویت نیاز دارد؟

ورود مبتنی بر رمز عبور RDP یک نقطه ورود با ریسک بالا است

نقاط پایانی RDP اهداف جذابی هستند زیرا یک رمز عبور compromised می‌تواند دسترسی مستقیم به یک میزبان ویندوز را فراهم کند. افشای عمومی RDP یا اتکا به حفاظت فقط از طریق VPN خطر حملات brute-force و استفاده مجدد از اعتبارنامه‌ها را افزایش می‌دهد. حتی استقرارهای RD Gateway بدون MFA آسیب‌پذیر باقی می‌مانند و CISA و مایکروسافت همچنان RDP را به عنوان یک نقطه ورود رایج برای ransomware شناسایی می‌کنند.

MFA موبایل به طور جهانی قابل استفاده نیست

برنامه‌های موبایل MFA راحتی را ارائه می‌دهند، اما برای هر محیط عملیاتی مناسب نیستند. شبکه‌های با امنیت بالا اغلب تلفن‌ها را به‌طور کامل ممنوع می‌کنند، در حالی که سازمان‌هایی با الزامات سخت‌گیرانه انطباق باید به سخت‌افزارهای احراز هویت اختصاصی تکیه کنند. این محدودیت‌ها باعث می‌شود توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های مبتنی بر دسکتاپ گزینه‌های ضروری برای اجرای MFA قوی و قابل‌اعتماد در دسترسی RDP باشند.

احراز هویت چندعاملی بدون تلفن برای RDP: چه کسی به آن نیاز دارد و چرا؟

محدودیت‌های عملیاتی و امنیتی MFA موبایل

بسیاری از بخش‌ها نمی‌توانند به دلیل محدودیت‌های عملیاتی یا کنترل‌های حریم خصوصی به تلفن‌های همراه برای احراز هویت وابسته باشند. سیستم‌های کنترل صنعتی، دفاع و محیط‌های تحقیقاتی اغلب در شرایط ایزوله کار می‌کنند که استفاده از دستگاه‌های خارجی را ممنوع می‌کند. پیمانکارانی که بر روی نقاط پایانی غیرمدیریتی کار می‌کنند نیز نمی‌توانند برنامه‌های MFA شرکتی را نصب کنند و این موضوع گزینه‌های احراز هویت موجود را محدود می‌کند.

رعایت و اتصال نیازهای بدون تلفن

چارچوب‌های تنظیم‌شده‌ای مانند PCI-DSS و NIST SP 800-63 اغلب استفاده از دستگاه‌های احراز هویت اختصاصی را توصیه یا اجباری می‌کند. سازمان‌هایی که اتصال ضعیف یا غیرقابل اعتمادی دارند، از MFA بدون تلفن بهره‌مند می‌شوند زیرا توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های دسکتاپ به‌طور کامل آفلاین عمل می‌کنند. این محدودیت‌ها نیاز قوی به روش‌های جایگزین MFA ایجاد می‌کند که به فناوری موبایل وابسته نیستند.

بهترین روش‌ها برای احراز هویت چندعاملی (MFA) برای RDP بدون تلفن چیست؟

توکن‌های سخت‌افزاری برای احراز هویت چندعاملی RDP

توکن‌های سخت‌افزاری احراز هویت آفلاین و مقاوم در برابر دستکاری را با رفتار ثابت در محیط‌های کنترل‌شده ارائه می‌دهند. آن‌ها وابستگی به دستگاه‌های شخصی را از بین می‌برند و از انواع عوامل قوی پشتیبانی می‌کنند. مثال‌های رایج شامل:

  • توکن‌های سخت‌افزاری TOTP کدهای مبتنی بر زمان را برای سرورهای RADIUS یا MFA تولید می‌کنند.
  • کلیدهای FIDO2/U2F ارائه‌دهنده احراز هویت مقاوم در برابر فیشینگ.
  • کارت‌های هوشمند یکپارچه با PKI برای تأیید هویت با اطمینان بالا.

این توکن‌ها با RDP از طریق سرورهای RADIUS، افزونه‌های NPS یا پلتفرم‌های MFA محلی که OATH TOTP را پشتیبانی می‌کنند، یکپارچه می‌شوند، فیدو2 یا کارهای مربوط به کارت هوشمند. استقرار کارت‌های هوشمند ممکن است به نرم‌افزار میان‌افزاری اضافی نیاز داشته باشد، اما آنها همچنان یک استاندارد در بخش‌های دولتی و زیرساختی باقی می‌مانند. با اجرای مناسب دروازه یا عامل، توکن‌های سخت‌افزاری احراز هویت قوی و بدون نیاز به تلفن را برای جلسات RDP تضمین می‌کنند.

برنامه‌های احراز هویت مبتنی بر دسکتاپ

برنامه‌های TOTP دسکتاپ کدهای MFA را به‌صورت محلی بر روی یک ایستگاه کاری تولید می‌کنند و به جای اتکا به دستگاه‌های همراه، گزینه‌ای عملی بدون تلفن برای کاربرانی که در محیط‌های مدیریت‌شده ویندوز فعالیت می‌کنند، ارائه می‌دهند. راه‌حل‌های رایج شامل:

  • WinAuth، یک تولیدکننده TOTP سبک برای ویندوز.
  • Authy Desktop پشتیبانی از نسخه‌های پشتیبان رمزگذاری شده و چند دستگاهی را ارائه می‌دهد.
  • KeePass با افزونه‌های OTP، ترکیب مدیریت رمز عبور با تولید MFA.

این ابزارها با RDP زمانی که با یک عامل MFA یا پلتفرم مبتنی بر RADIUS جفت شوند، یکپارچه می‌شوند. افزونه NPS مایکروسافت از توکن‌های OTP با ورود کد پشتیبانی نمی‌کند، بنابراین معمولاً سرورهای MFA شخص ثالث برای RD Gateway و ورود مستقیم به ویندوز مورد نیاز هستند. احراز هویت‌کننده‌های دسکتاپ به‌ویژه در زیرساخت‌های کنترل‌شده که سیاست‌های دستگاه ذخیره‌سازی امن بذرهای احراز هویت را تحمیل می‌کنند، مؤثر هستند.

چگونه MFA را برای RDP بدون تلفن‌ها پیاده‌سازی کنیم؟

گزینه ۱: دروازه RD + افزونه NPS + توکن‌های سخت‌افزاری

سازمان‌هایی که در حال حاضر از RD Gateway استفاده می‌کنند، می‌توانند با ادغام یک سرور MFA مبتنی بر RADIUS سازگار، MFA بدون تلفن را اضافه کنند. این معماری از RD Gateway برای کنترل جلسه، NPS برای ارزیابی سیاست و یک پلاگین MFA شخص ثالث که قادر به پردازش TOTP یا اعتبارنامه‌های سخت‌افزاری است، استفاده می‌کند. از آنجا که افزونه NPS مایکروسافت تنها از MFA مبتنی بر ابر Entra پشتیبانی می‌کند، بیشتر استقرارهای بدون تلفن به سرورهای MFA مستقل وابسته هستند.

این مدل MFA را قبل از اینکه یک جلسه RDP به میزبان‌های داخلی برسد، اعمال می‌کند و دفاع در برابر دسترسی غیرمجاز را تقویت می‌کند. سیاست‌ها می‌توانند به کاربران خاص، مبداهای اتصال یا نقش‌های مدیریتی هدف بزنند. اگرچه معماری پیچیده‌تر از قرار گرفتن مستقیم RDP است، اما این امکان را فراهم می‌کند. امنیت قوی برای سازمان‌هایی که قبلاً در RD Gateway سرمایه‌گذاری کرده‌اند.

گزینه ۲: MFA محلی با عامل RDP مستقیم

استقرار یک عامل MFA به طور مستقیم بر روی میزبان‌های ویندوز، MFA بسیار انعطاف‌پذیر و مستقل از ابر را برای RDP امکان‌پذیر می‌سازد. این عامل ورودها را قطع کرده و از کاربران می‌خواهد که با استفاده از توکن‌های سخت‌افزاری، کارت‌های هوشمند یا کدهای TOTP تولید شده توسط دسکتاپ احراز هویت کنند. این رویکرد به طور کامل آفلاین است و برای محیط‌های ایزوله یا محدود ایده‌آل است.

سرورهای MFA محلی مدیریت متمرکز، اجرای سیاست و ثبت‌نام توکن را فراهم می‌کنند. مدیران می‌توانند قوانین را بر اساس زمان روز، منبع شبکه، هویت کاربر یا سطح دسترسی پیاده‌سازی کنند. از آنجا که احراز هویت به‌طور کامل محلی است، این مدل تضمین می‌کند که حتی زمانی که اتصال اینترنت در دسترس نیست، تداوم وجود دارد.

موارد واقعی استفاده از MFA بدون تلفن چیست؟

محیط‌های تنظیم‌شده و با امنیت بالا

احراز هویت چندعاملی بدون تلفن در شبکه‌هایی که تحت قوانین سختگیرانه انطباق و امنیت قرار دارند، رایج است. محیط‌های PCI-DSS، CJIS و بهداشت و درمان به احراز هویت قوی نیاز دارند بدون اینکه به دستگاه‌های شخصی وابسته باشند. تأسیسات ایزوله، آزمایشگاه‌های تحقیقاتی و شبکه‌های صنعتی نمی‌توانند اجازه اتصال خارجی یا حضور تلفن‌های هوشمند را بدهند.

پروژه‌کار، BYOD و سناریوهای دستگاه‌های بدون مدیریت

سازمان‌های بزرگ پیمانکار از MFA موبایل برای جلوگیری از پیچیدگی‌های ثبت‌نام در دستگاه‌های غیرمدیریتی پرهیز می‌کنند. در این شرایط، توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های دسکتاپ احراز هویت قوی و ثابتی را بدون نیاز به نصب نرم‌افزار بر روی تجهیزات شخصی فراهم می‌کنند.

تداوم عملیاتی در جریان‌های کاری توزیع‌شده

بسیاری از سازمان‌ها از MFA بدون تلفن برای حفظ جریان‌های احراز هویت قابل پیش‌بینی در محیط‌های مختلط استفاده می‌کنند، به‌ویژه در جایی که کاربران به‌طور مکرر تغییر می‌کنند یا هویت باید به دستگاه‌های فیزیکی متصل بماند. توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های دسکتاپ فرآیند ورود را ساده‌تر می‌کنند، قابلیت حسابرسی را بهبود می‌بخشند و به تیم‌های IT اجازه می‌دهند تا یکپارچگی را تحمیل کنند. سیاست های امنیتی در سراسر:

  • سایت‌های راه دور
  • ایستگاه‌های کاری مشترک
  • سناریوهای دسترسی موقت

بهترین شیوه‌ها برای پیاده‌سازی MFA بدون تلفن چیست؟

معماری را ارزیابی کرده و نقطه اجرای مناسب را انتخاب کنید

سازمان‌ها باید با ارزیابی توپولوژی RDP خود شروع کنند—چه از RDP مستقیم، RD Gateway یا یک تنظیم ترکیبی استفاده کنند—تا مؤثرترین نقطه اجرای سیاست را تعیین کنند. انواع توکن‌ها باید بر اساس ارزیابی شوند:

  • قابلیت استفاده
  • مسیرهای بازیابی
  • انتظارات انطباق

پلتفرم‌های MFA محلی برای محیط‌هایی که به تأیید هویت آفلاین و کنترل کامل مدیریتی نیاز دارند، توصیه می‌شوند.

اجرای MFA به طور استراتژیک و برنامه‌ریزی برای بازیابی

MFA باید حداقل برای دسترسی خارجی و حساب‌های دارای امتیاز اجرا شود تا از قرار گرفتن در معرض حملات مبتنی بر اعتبارنامه کاسته شود. توکن‌های پشتیبان و رویه‌های بازیابی به وضوح تعریف شده از قفل شدن کاربران در حین ثبت‌نام یا گم شدن توکن جلوگیری می‌کند. آزمایش کاربران کمک می‌کند تا اطمینان حاصل شود که MFA با جریان‌های کاری عملیاتی هم‌راستا است و از اصطکاک غیرضروری جلوگیری می‌کند.

مدیریت چرخه عمر توکن و حفظ حاکمیت

تیم‌های IT باید مدیریت چرخه عمر توکن را به‌طور زودهنگام برنامه‌ریزی کنند، از جمله ثبت‌نام، ابطال، جایگزینی و ذخیره‌سازی امن کلیدهای بذر TOTP. یک مدل حکمرانی واضح اطمینان می‌دهد که عوامل MFA قابل ردیابی و مطابق با سیاست‌های داخلی باقی بمانند. ترکیب این موارد با بررسی‌های دوره‌ای دسترسی و آزمایش‌های منظم، این شیوه‌ها را به یک استقرار پایدار MFA بدون تلفن که به نیازهای عملیاتی در حال تحول سازگار است، پشتیبانی می‌کند.

چرا تأمین RDP بدون تلفن‌ها کاملاً عملی است؟

MFA بدون تلفن با الزامات امنیتی دنیای واقعی مطابقت دارد

احراز هویت چندعاملی بدون تلفن یک گزینه پشتیبان نیست بلکه یک قابلیت ضروری برای سازمان‌هایی است که دارای مرزهای عملیاتی یا نظارتی سختگیرانه هستند. توکن‌های سخت‌افزاری، تولیدکننده‌های TOTP دسکتاپ، کلیدهای FIDO2 و کارت‌های هوشمند همگی احراز هویت قوی و ثابتی را بدون نیاز به گوشی‌های هوشمند فراهم می‌کنند.

حفاظت قوی بدون پیچیدگی معماری

هنگامی که در سطح دروازه یا نقطه پایانی پیاده‌سازی شود، MFA بدون نیاز به تلفن به طور قابل توجهی در معرض حملات اعتبارنامه و تلاش‌های دسترسی غیرمجاز را کاهش می‌دهد. این روش‌ها به‌طور روانی در معماری‌های RDP موجود ادغام می‌شوند و آن‌ها را به یک انتخاب عملی، ایمن و مطابق با الزامات برای محیط‌های مدرن تبدیل می‌کنند.

ثبات عملیاتی و پایداری بلندمدت

احراز هویت چندعاملی بدون تلفن، ثبات بلندمدت را با حذف وابستگی‌ها به سیستم‌های عامل موبایل، به‌روزرسانی‌های برنامه یا تغییرات مالکیت دستگاه‌ها ارائه می‌دهد. سازمان‌ها کنترل کامل بر سخت‌افزار احراز هویت را حفظ می‌کنند و این امر مقیاس‌پذیری روان‌تری را امکان‌پذیر می‌سازد و اطمینان می‌دهد که حفاظت RDP پایدار باقی می‌ماند بدون وابستگی به اکوسیستم‌های موبایل خارجی.

چگونه TSplus احراز هویت چندعاملی RDP را بدون تلفن‌ها با TSplus Advanced Security تقویت می‌کند؟

TSplus Advanced Security حفاظت RDP را با فعال‌سازی MFA بدون نیاز به تلفن همراه با توکن‌های سخت‌افزاری، اجرای محلی و کنترل‌های دسترسی دقیق تقویت می‌کند. طراحی سبک و مستقل از ابر آن برای شبکه‌های ترکیبی و محدود مناسب است و به مدیران این امکان را می‌دهد که MFA را به‌صورت انتخابی اعمال کنند، چندین میزبان را به‌طور مؤثر ایمن کنند و سیاست‌های احراز هویت یکسانی را اجرا کنند. با استقرار ساده و پیکربندی انعطاف‌پذیر، امنیت قوی و عملی RDP را بدون وابستگی به دستگاه‌های همراه ارائه می‌دهد.

نتیجه

تأمین RDP بدون تلفن‌های همراه نه تنها ممکن است بلکه به طور فزاینده‌ای ضروری است. توکن‌های سخت‌افزاری و احراز هویت‌کننده‌های مبتنی بر دسکتاپ مکانیزم‌های MFA قابل اعتماد، مطابق و آفلاین را برای محیط‌های پرچالش ارائه می‌دهند. با ادغام این روش‌ها از طریق RD Gateway، سرورهای MFA محلی یا عوامل محلی، سازمان‌ها می‌توانند به طور قابل توجهی وضعیت امنیت RDP خود را تقویت کنند. با راه‌حل‌هایی مانند TSplus Advanced Security اجرای MFA بدون گوشی‌های هوشمند ساده، قابل تنظیم و کاملاً هماهنگ با محدودیت‌های عملیاتی دنیای واقعی می‌شود.

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالعه بیشتر

TSplus Remote Desktop Access - Advanced Security Software

صفر اعتماد برای دسترسی از راه دور SMB: یک طرح عملی

یاد بگیرید که چگونه کسب‌وکارهای کوچک و متوسط می‌توانند اصول اعتماد صفر را برای تأمین دسترسی از راه دور بدون پیچیدگی‌های سازمانی به کار ببرند. این راهنما یک طرح ۰ تا ۹۰ روزه را ارائه می‌دهد که بر هویت، اعتماد به دستگاه، حداقل دسترسی و نظارت تمرکز دارد تا ریسک را کاهش دهد و امنیت کار از راه دور را تقویت کند.

مقاله را بخوانید
back to top of the page icon