Haluaisitko nähdä sivuston eri kielellä?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Vaihda kieltä
Sisällysluettelo
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Miksi etätyöpöydät vaativat vahvaa turvallisuutta?

Etätyöpöytä ei automaattisesti ole vaarallinen, mutta kuten mikä tahansa etäyhteysmuoto, se ei koskaan ole turvallisempi kuin ympärillä oleva järjestelmä. Järjestelmänvalvojille oikea kysymys ei ole se, onko etätyöpöytä turvallinen abstraktisti. Oikea kysymys on, ovatko päätepiste, verkon altistumispolku ja tilinhallintakontrollit tarpeeksi vahvoja tukemaan sitä.

Se kehys on tärkeä, koska Microsoftin nykyinen ohjeistus keskittyy edelleen turvalliseen Remote Desktopiin, joka perustuu verkon tason todennukseen (NLA), RD Gatewayhin, TLS-sertifikaatteihin ja MFA:han sen sijaan, että se keskittyisi suoraan julkiseen altistumiseen. Tämän mukaisesti, CISA ja vastaava ohjeistus kannustaa organisaatioita jatkuvasti poistamaan käyttämättömän RDP-pääsyn, rajoittamaan riskialttiita palveluja ja toteuttamaan MFA:ta, koska altistettu etäyhteys on edelleen yleinen tunkeutumistekijä. Silti uskomme, että tehtävää on vielä enemmän.

Mitkä kolme ensimmäistä tarkistusta määrittävät etätyöpöydän riskin?

Päätepisteen riski

Päätepisteen riski on koneen itsensä tila. Täysin päivitetty Windows-työasema, jossa on moderni päätepisteen suojaus, rajoitetut järjestelmänvalvojan oikeudet ja hallittu istuntokäyttäytyminen, on hyvin erilaisessa asemassa verrattuna vanhenevaan palvelimeen, jolla on laajat paikalliset järjestelmänvalvojan oikeudet ja vanhentuneet tunnistetiedot. Turvalliset etätyöpöydät alkavat isäntästä, joka on jo puolustettavissa ennen kuin mikään etäistunto alkaa.

Verkkonäkyvyysriski

Verkkonäkyvyyden riski liittyy saavutettavuuteen. Jos kirjautumispinta on suoraan saavutettavissa internetistä, kone on alttiina skannaukselle, salasanan arvailulle ja hyökkäysyrityksille. Jos sama isäntä on saavutettavissa vain VPN:n, RD Gatewayn tai tiukasti hallitun pääsykerroksen kautta, riski muuttuu merkittävästi. Microsoft asettaa RD Gatewayn nimenomaisesti keinoksi tarjota salattua pääsyä HTTPS:n kautta ilman, että sisäisiä RDP-portteja avataan.

Tilin riski

Tilin riski liittyy identiteetin laatuun ja etuoikeuksiin. Turvallinen isäntä muuttuu nopeasti turvattomaksi, kun etäkirjautumiset perustuvat uudelleenkäytettyihin salasanoihin, passiivisiin ylläpito-tiliin tai laajoihin oikeuksiin. Microsoftin RDS-suunnitteluohjeet pitävät MFA:ta ydinvalvontana turvalliselle etäyhteydelle, erityisesti kun pääsy välitetään RD Gatewayn kautta.

Miksi vastaus muuttuu kotitietokoneelle, toimistotyöasemalle, palvelimelle tai tilalle ja suuremmalle infrastruktuurille?

Kotitietokoneet

Kotitietokoneella on yleensä pienempi räjähdysalue kuin tuotantopalvelimella, mutta sitä hallitaan usein vähemmän tiukasti. Kuluttajareitittimet, satunnainen porttiohjaus, heikot paikalliset salasanat ja epätasainen päivitys voivat tehdä kotijärjestelmästä yllättävän alttiin. Pääasiallinen riski on usein huono konfigurointi pikemminkin kuin tahallinen yrityssuunnittelu.

Toimistotyöasemat

Toimistotyöasema sijaitsee yleensä hallitussa verkossa, mutta se ei poista riskiä. Jos vaarantunut käyttäjätili voi päästä työasemalle etäyhteyden kautta, työasema voi muuttua käännepisteeksi sivuttaisliikkeelle, tietojen varastamiselle tai oikeuksien nostamiselle. Käytännössä toimistopäätteet tarvitsevat sekä päätelaitteiden puhtautta että selkeän etäyhteyskäytännön.

Windows-palvelimet

Windows-palvelin aiheuttaa suurimmat seuraukset. Etäyhteys tiedostopalvelimeen, sovelluspalvelimeen tai Remote Desktop Session Hostiin tarkoittaa, että hyökkääjä on lähempänä kriittisiä tietoja, jaettuja palveluja ja hallintatyökaluja. Siksi turvalliset RD-palvelimet tarvitsevat tiukempia henkilöllisyysvalvontoja, kapeampaa altistumista ja aktiivisia puolustavia kontrollimekanismeja kirjautumispinnalla.

Tilat ja suuremmat infrastruktuurit

Maatilalla tai suuremmassa etäyhteysinfrastruktuurissa riski ei enää liity vain yhteen koneeseen. Yksi heikko työasema, altistettu palvelin tai liikaa oikeuksia saanut ylläpito-tili voi vaikuttaa koko ympäristöön, johon kuuluu julkaistuja sovelluksia, Remote Desktop -palvelimia, verkkosivustoja, portteja ja tukevia hallintajärjestelmiä. ISV:ille, MSP:ille ja yritysten IT-tiimeille todellinen haaste on yhdisteiden ja pääsyreittien johdonmukaisuus .

Tämä muuttaa turvallisuuskysymystä kahdella tavalla.

Jaettu altistus

Ensinnäkin järjestelmänvalvojien on ajateltava jaetun altistuksen näkökulmasta eristyneiden isäntien sijaan.

Skaalautuvat ohjaimet

Toiseksi heidän tarvitsee hallintatyökaluja, jotka skaalautuvat sekoitetuissa ympäristöissä, mukaan lukien käyttäjien työasemat, turvalliset RD-palvelimet ja internetiin kohdistuvat järjestelmät.

Tässä yhteydessä etäyhteyksien suojaaminen tarkoittaa politiikan standardoimista, hyökkäyspinnan vähentämistä koko omaisuudessa ja todennuksen sekä istuntokäyttäytymisen keskitettyä seurantaa sen sijaan, että se tapahtuisi isäntäkohtaisesti.

Päätepisteen riski: Onko isäntä valmis etäyhteyteen?

Ennen kuin suojaat etäyhteydet, varmista, että isäntä ansaitsee olla alttiina lainkaan. Aloita korjaustahdista, päätepisteen suojauksesta, paikallisen järjestelmänvalvojan laajuudesta ja tallennettujen tunnistetietojen hygieniasta. NLA auttaa vähentämään todennusta vailla olevien istuntojen perustamista, mutta se ei korvaa huonosti ylläpidettyä konetta. Microsoft suosittelee edelleen NLA:ta, koska käyttäjät todennuttavat. ennen istunnon muodostamista joka vähentää luvattoman pääsyn riskiä ja rajoittaa resurssien sitoutumista todennetuille käyttäjille.

Nopeaa päätepisteen tarkastelua varten tarkista nämä kohteet:

  1. Onko käyttöjärjestelmä täysin päivitetty ja tuettu?
  2. Ovatko vain vaaditut käyttäjät Etätyöpöytä-käyttäjäryhmässä?
  3. Onko paikalliset järjestelmänvalvojan oikeudet rajoitettu?
  4. Onko päätepisteen suojaus aktiivinen ja valvottu?
  5. Tarkistetaanko välimuistiin tallennetut käyttäjätiedot, tallennetut istunnot ja käyttämättömät tilit säännöllisesti?

Tämä on myös paikka, jossa TSplus Advanced Security sopii hyvin ylävirran koventamiskerrokseksi. Advanced Security -ohjelmistomme on työkalupakki sovelluspalvelimien ja Remote Desktopin suojaamiseen. Säännöllisesti päivitetystä dokumentaatiostamme on syytä korostaa joitakin merkittävimpiä ominaisuuksia, nimittäin Bruteforce Protection, Geographic Protection ja Ransomware Protection, alkuperäisestä konfigurointivirrasta.

Verkkonäkyvyysriski: Voivatko hyökkääjät päästä kirjautumispintaan?

Suora altistus internetissä

Suora RDP-altistus on edelleen vaarallisin yleinen malli. Jos TCP 3389 on saavutettavissa julkisesta internetistä, koneesta tulee havaittavissa skannereille ja bruteforce-liikenteelle. CISA neuvoo toistuvasti organisaatioita poistamaan käytöstä portit ja protokollat, joita ei tarvita liiketoiminnassa, mainiten nimenomaisesti RDP-portin 3389 useissa kiristysohjelma- ja uhkavaroituksissa.

VPN, RD Gateway tai hallittu pääsyreitti

Hallittu pääsyreitti on turvallisempi, koska se kaventaa altistettua etuovea. Microsoftin nykyinen RDS yleiskatsaus todetaan, että RD Gateway tarjoaa turvallisen, salatun RDP-yhteyden HTTPS:n kautta ulkoisista verkoista ilman sisäisten RDP-porttien avaamista, ja se tukee MFA:ta ja ehtopolitiikkoja. Tämä on paljon vahvempi malli kuin RDP:n suora altistaminen.

Missä TSplus Advanced Security sopii?

TSplus Advanced Security on erityisen hyödyllinen, kun tarvitset enemmän hallintaa Windowsin etäyhteyden altistetusta reunasta. Hakkerien estämisestä etätyöpöydän ja sovelluspalvelimien suojaamiseen, sallittujen maiden rajoittamisesta vihamielisten IP-osoitteiden mustalistalle laittamiseen tai automaattiseen reagointiin bruteforce-käyttäytymiseen, Advanced Securityllä on 360° suojakattavuus. Esimerkiksi verkkodokumentaatiomme kuvaa erityisesti maantieteellisen suojan toimimista Advanced Securityn sisäänrakennetun palomuurin kanssa. Samaan aikaan Bruteforce Protection mustalistaa automaattisesti rikolliset IP-osoitteet toistuvien epäonnistumisten jälkeen.

Tarvitsetko vahvempaa hallintaa altistetusta Remote Accessista, mutta haluat välttää yrityskompleksisuuden lisäämistä? Olet tervetullut aloittamaan ilmaisen TSplus Advanced Security -kokeilusi ja selvittämään, mitä se voi tehdä heti sekä seuraavien 15 päivän aikana.

Tilin riski: Kuka voi kirjautua sisään ja millä oikeudella?

Käyttäjätiedot

Heikot tunnistetiedot ovat edelleen yksi nopeimmista tavoista menettää hallinta etäyhteydellä olevaan koneeseen. Pelkkä salasana, jaetut ylläpito-tilit ja vanhat palvelintunnistetiedot tekevät hallittavasta asetuksesta houkuttelevan kohteen. Vaikka siirto olisi salattu, huono identiteettihygienia heikentää koko suunnitelmaa.

Monivaiheinen todennus

MFA on yksi selkeimmistä tavoista vähentää tätä riskiä. Microsoftin RDS-suunnitteluohjeet keskittyvät edelleen MFA:han turvallisissa etätyöpöytätyönkuluissa, ja TSplus 2FA on suunniteltu erityisesti lisäämään vähintään toinen tekijä saapuvaan etäyhteyteen.

Vähimmäisoikeus

Vähimmäisoikeudet ovat yhtä tärkeitä. Turvallisilla RD-palvelimilla etäkirjautumisoikeudet tulisi rajoittaa nimettyihin ryhmiin, ylläpitotilojen tulisi olla eristettyjä tavallisista käyttäjäkäynneistä, ja käyttämättömät tilit tulisi poistaa käytöstä. Jos et tiedä tarkalleen, kuka voi kirjautua etänä, ympäristö on jo heikompi kuin miltä se näyttää.

Laitteen käyttäjän lukitus

Lisätyn mielenrauhan vuoksi olemme tehneet saataville ylimääräisen suojakerroksen Luotettujen laitteiden muodossa. Tämä päätepisteen suojausominaisuus lukitsee käyttäjänimen sen tavanomaiseen laitteeseen, jolloin reagoiminen sen katoamisen tai varastamisen sattuessa on nopeampaa.

5 minuutin itsearviointi järjestelmänvalvojille

Suorita tämä nopea tarkistus ennen kuin olet varma, että kone on turvallinen Remote Desktopia varten:

  1. Onko portti 3389 saavutettavissa julkisesta internetistä?
  2. Onko NLA käytössä kohdeisäntäkoneessa?
  3. Onko etäyhteys välitetty VPN:n, RD Gatewayn tai jonkin muun hallitun reitin kautta?
  4. Onko MFA pakollinen etäkirjautumisille?
  5. Onko etäkirjautumisoikeudet rajoitettu pienimpään tarpeelliseen ryhmään?
  6. Onko TSplus Advanced Security tai vastaava suojaus estää bruteforce-hyökkäykset ja vihamielinen IP-toiminta?
  7. Onko isäntä päivitetty, valvottu ja vapaa vanhentuneista etuoikeutetuista tileistä?

Jos ensimmäiseen kysymykseen vastataan kyllä ja seuraaviin kolmeen ei, käsittele konetta korkeana riskinä.

Mitä korjata ensin

Järjestelmänvalvojat saavat yleensä suurimman riskin vähenemisen järjestyksestä, ei määrästä. Korjaa ensin hallintojen järjestys.

Aloita poistamalla suora julkinen altistus mahdollisuuksien mukaan. Tiukenna sitten henkilöllisyyttä MFA:lla ja pienemmillä kirjautumisalueilla. Tämän jälkeen koveta isäntä ja lisää aktiivisia puolustavia kontrollimekanismeja etäyhteyden pinnan ympärille.

Monille PK-yrityksille ja keskikokoisille markkinoille TSplus Advanced Security on sekä käytännöllinen että välttämätön. Tuote on kehitetty Windowsin etäyhteys- ja sovelluspalvelimille, ja liittyvä TSplus-artikkelimme käsittelee turvallinen etäyhteys sivustolle laajentaa tätä, myös selvittäen miksi Advanced Security on pääsuojakerros turvallisille etäyhteysympäristöille.

Johtopäätös: Etätyöpöydän turvallisuus alkaa ylhäältä.

Kuinka turvallinen tietokoneesi on etätyöpöydältä riippuu vähemmän pelkästä etätyöpöydästä ja enemmän sen ympärillä olevista tarkistuksista. Päätepisteen tila päättää, onko kone puolustettavissa. Verkkonäkyvyys päättää, voivatko hyökkääjät päästä kirjautumispintaan. Tilinhallinta päättää, tuleeko voimassa oleva kirjautuminen suureksi tapahtumaksi.

Tällainen on käytännöllinen vastaus järjestelmän hallintaan. Jos haluat suojata etäyhteydet hyvin, älä aloita istunnosta. Aloita ylhäältä isäntästä, altistumispolusta ja identiteettikerroksesta. Kun se on tehty, vahvista nämä päätökset työkaluilla, kuten TSplus Advanced Security ja MFA-pohjainen pääsy.

Aloita tänään kanssa kaikkien osa-alueiden IT-palvelin turvallisuus yksinkertaiseksi .

Jaa:

Facebook Twitter LinkedIn

Sinun TSplus tiimisi

Lisätietoja

back to top of the page icon