)
)
Johdanto
IT-järjestelmänvalvojien on tarjottava työntekijöille luotettava ja turvallinen pääsy sisäisiin työpöytiin ja sovelluksiin. Perinteisesti tämä saavutettiin altistamalla RDP portissa 3389 tai luottamalla VPN:ään. Molemmat lähestymistavat tuovat mukanaan monimutkaisuutta ja mahdollisia turvallisuusriskejä. Microsoftin Remote Desktop Gateway (RD Gateway) ratkaisee tämän tunnelointimalla Remote Desktop -yhteydet HTTPS:n kautta portissa 443. Tässä artikkelissa käymme läpi RD Gatewayn asennusprosessin Windows Serverissä ja keskustelemme siitä, kuinka TSplus Remote Access tarjoaa helpomman, skaalautuvan vaihtoehdon kaikenkokoisille organisaatioille.
Mikä on RDP-portti?
Etätyöpöytäportti (RD Gateway) on Windows Server -rooli, joka mahdollistaa turvalliset etäyhteydet sisäisiin resursseihin internetin kautta tunneloinnin avulla RDP-liikennettä HTTPS:n kautta portissa 443. Se suojaa bruteforce-hyökkäyksiltä SSL:llä. TLS-salaus ja soveltaa tiukkoja pääsääntöjä Yhteydenvaltuutuspolitiikkojen (CAP) ja Resurssivaltuutuspolitiikkojen (RAP) kautta, antaen järjestelmänvalvojille tarkkaa hallintaa siitä, kuka voi muodostaa yhteyden ja mitä he voivat käyttää
- RD Gatewayn avainominaisuudet
- Kuinka se eroaa VPN:istä
RD Gatewayn avainominaisuudet
Yksi RD Gatewayn suurimmista eduista on sen riippuvuus HTTPS:stä, mikä mahdollistaa käyttäjien yhteyden muodostamisen verkkojen kautta, jotka normaalisti estäisivät RDP-liikenteen. Integraatio SSL-sertifikaattien kanssa varmistaa myös salatut istunnot, ja järjestelmänvalvojat voivat määrittää CAP:it ja RAP:it rajoittaakseen pääsyä käyttäjäroolien, laiteyhteensopivuuden tai vuorokaudenajan perusteella.
Kuinka se eroaa VPN:istä
Vaikka VPN:ät ovat yleinen tapa tarjota etäyhteys, ne vaativat usein monimutkaisempaa konfigurointia ja voivat altistaa laajempia osia verkosta kuin on tarpeen. Sen sijaan RD Gateway keskittyy erityisesti RDP-istuntojen suojaamiseen. Se ei myönnä pääsyä koko verkkoon, vain hyväksyttyihin työpöytiin ja sovelluksiin. Tämä kapeampi laajuus auttaa vähentämään hyökkäyspintaa ja yksinkertaistaa vaatimustenmukaisuutta aloilla, joilla on tiukat hallintovaatimukset.
Kuinka määrittää RDP Gateway? Vaiheittainen opas
- Asennuksen ennakkoedellytykset
- Asenna RD Gateway -rooli
- Määritä SSL-sertifikaatti
- Luo CAP- ja RAP-politiikat
- Testaa RD Gateway -yhteytesi
- Palomuurin, NAT:n ja DNS:n säädöt
- Valvo ja hallitse RD Gatewayta
Vaihe 1: Esivaatimukset ennen asennusta
Ennen RD Gatewayn määrittämistä varmista, että palvelimesi on liitetty Active Directory -verkkotunnukseen ja että se käyttää Windows Server 2016:ta tai uutta versiota, jossa on asennettuna Remote Desktop Services -rooli. Konfiguroinnin suorittamiseen tarvitaan järjestelmänvalvojan oikeudet. Tarvitset myös voimassa olevan SSL-sertifikaatti luotettavalta CA: lta turvallisten yhteyksien varmistamiseksi ja oikein määritettyjen DNS-tietueiden, jotta ulkoinen isäntänimi ratkaisee palvelimen julkiseen IP-osoitteeseen. Ilman näitä elementtejä portti ei toimi oikein.
Vaihe 2 – Asenna RD Gateway -rooli
Asennus voidaan suorittaa joko [through the]
Palvelin Hallinta
GUI tai PowerShell. Käyttämällä Server Manageria järjestelmänvalvoja lisää Remote Desktop Gateway -roolin Add Roles and Features -ohjelman kautta. Prosessi asentaa automaattisesti tarvittavat komponentit, kuten IIS. Automatisointia tai nopeampaa käyttöönottoa varten PowerShell on käytännöllinen vaihtoehto. Komennon suorittaminen
Asenna-WindowsFeature RDS-Gateway -IncludeAllSubFeature -Restart
asentaa roolin ja käynnistää palvelimen uudelleen tarpeen mukaan.
Kun asennus on valmis, järjestelmänvalvojat voivat vahvistaa asennuksen kanssa
Get-WindowsFeature RDS-Gateway
, joka näyttää ominaisuuden asennustilan.
Vaihe 3 – Määritä SSL-sertifikaatti
SSL-sertifikaatti on tuettava ja sidottava RD Gateway -palvelimeen, jotta kaikki RDP-liikenne voidaan salata HTTPS:n yli. Järjestelmänvalvojat avaavat RD Gateway Managerin, siirtyvät SSL-sertifikaatti-välilehdelle ja tuovat .pfx-tiedoston. Luotettavalta CA:lta saatu sertifikaatti välttää asiakasluottamusongelmia.
Testiympäristöjä käyttävien organisaatioiden osalta itse allekirjoitettu sertifikaatti saattaa riittää, mutta tuotannossa suositellaan julkisia sertifikaatteja. Ne varmistavat, että organisaation ulkopuolelta yhteyttä ottavat käyttäjät eivät kohtaa varoituksia tai estettyjä yhteyksiä.
Vaihe 4 – Luo CAP- ja RAP-politiikat
Seuraava vaihe on määrittää politiikat, jotka hallitsevat käyttäjien pääsyä. Yhteydenvaltuutuspolitiikat määrittävät, mitkä käyttäjät tai ryhmät saavat muodostaa yhteyden portin kautta. Vahvistusmenetelmiä, kuten salasanoja, älykortteja tai molempia, voidaan vaatia. Laitteen uudelleenohjaus voidaan myös sallia tai rajoittaa riippuen turvallisuustilanteesta.
Resurssivaltakäytännöt määrittelevät sitten, mihin sisäisiin palvelimiin tai työpöytiin käyttäjät voivat päästä. Järjestelmänvalvojat voivat ryhmitellä resursseja IP-osoitteiden, isäntänimien tai Active Directory -objektien mukaan. Tämä käyttäjä- ja resurssipolitiikkojen erottelu tarjoaa tarkan hallinnan ja vähentää luvattoman pääsyn riskiä.
Vaihe 5 – Testaa RD Gateway -yhteytesi
Testaus varmistaa, että kokoonpano toimii odotetusti. Windows-asiakkaalla voidaan käyttää etätyöpöytäyhteysohjelmaa (mstsc). Lisäasetuksissa käyttäjä määrittää RD Gateway -palvelimen ulkoisen isäntänimen. Tietojen antamisen jälkeen yhteyden pitäisi muodostua ongelmitta.
Järjestelmänvalvojat voivat myös suorittaa komentorivitestauksia, joissa on
mstsc /v:
Lokien valvonta RD Gateway Managerissa auttaa varmistamaan, että todennus ja resurssien valtuutus toimivat määritellyllä tavalla.
Vaihe 6 – Palomuurin, NAT:n ja DNS:n säädöt
Koska RD Gateway käyttää
portti 443
järjestelmänvalvojien on sallittava saapuva HTTPS-liikenne palomuurissa. NAT-laitteen takana oleville organisaatioille porttiohjauksen on ohjattava portin 443 pyynnöt RD Gateway -palvelimelle. Oikeat DNS-tiedot on oltava kunnossa, jotta ulkoinen isäntänimi (esimerkiksi
rdgateway.company.com
) ratkaisee oikean julkisen IP-osoitteen. Nämä asetukset varmistavat, että yritysverkon ulkopuoliset käyttäjät voivat saavuttaa RD Gatewayn ongelmitta.
Vaihe 7 – Valvo ja hallitse RD Gateway
Jatkuva valvonta on kriittistä turvallisen ympäristön ylläpitämiseksi. RD Gateway Manager tarjoaa sisäänrakennettuja valvontatyökaluja, jotka näyttävät aktiiviset istunnot, istuntojen keston ja epäonnistuneet kirjautumisyritykset. Lokien säännöllinen tarkastelu auttaa tunnistamaan mahdolliset bruteforce-hyökkäykset tai väärät kokoonpanot. Valvonnan integroiminen keskitettyihin lokitusalustoihin voi tarjota vielä syvempää näkyvyyttä ja hälytysmahdollisuuksia.
Mitkä ovat yleisimmät sudenkuopat ja vianetsintävinkit RDP Gatewaylle?
Vaikka RD Gateway on tehokas työkalu, useita yleisiä ongelmia voi ilmetä asennuksen ja käytön aikana. SSL-sertifikaattiongelmat ovat yleisiä, erityisesti kun itse allekirjoitettuja sertifikaatteja käytetään tuotannossa. Julkisesti luotettavien sertifikaattien käyttäminen minimoi nämä päänsäryt.
Toinen yleinen ongelma liittyy DNS-konfigurointivirheisiin. Jos ulkoinen isäntänimi ei ratkaise oikein, käyttäjät eivät voi muodostaa yhteyttä. Tarkkojen DNS-tietueiden varmistaminen sekä sisäisesti että ulkoisesti on välttämätöntä. Palomuurin konfigurointivirheet voivat myös estää liikennettä, joten järjestelmänvalvojien tulisi tarkistaa porttiohjaukset ja palomuurisäännöt vianetsinnän yhteydessä.
Lopuksi CAP- ja RAP-politiikkojen on oltava huolellisesti linjassa. Jos käyttäjät on valtuutettu CAP:lla mutta heille ei anneta pääsyä RAP:lla, yhteydet evätään. Politiikan järjestyksen ja laajuuden tarkastelu voi ratkaista tällaiset pääsyongelmat nopeasti.
Kuinka TSplus Remote Access voi olla vaihtoehto RDP Gatewaylle?
Vaikka RD Gateway tarjoaa turvallisen tavan julkaista RDP:tä HTTPS:n yli, sen käyttöönotto ja hallinta voivat olla monimutkaisia, erityisesti pienille ja keskikokoisille yrityksille. Tässä vaiheessa TSplus Etäyhteys tulee yksinkertaistettuna, kustannustehokkaana ratkaisuna.
TSplus Remote Access poistaa tarpeen määrittää CAP:ita, RAP:ita ja SSL-sidoksia manuaalisesti. Sen sijaan se tarjoaa yksinkertaisen verkkopohjaisen portaalin, joka mahdollistaa käyttäjien yhdistää työpöytiinsä tai sovelluksiinsa suoraan selaimen kautta. HTML5-tuen ansiosta lisäasiakasohjelmistoa ei tarvita. Tämä tekee etäyhteydestä saavutettavan kaikilla laitteilla, mukaan lukien tabletit ja älypuhelimet.
Lisäksi käyttöönoton helppouden ohella, TSplus Etäyhteys on merkittävästi edullisempaa kuin Windows Server RDS -infrastruktuurin toteuttaminen ja ylläpito. Organisaatiot voivat hyötyä ominaisuuksista, kuten sovellusten julkaisemisesta, turvallisesta verkkopääsystä ja monikäyttäjätuesta, kaikki yhdessä alustassa. IT-tiimeille, jotka etsivät tasapainoa turvallisuuden, suorituskyvyn ja yksinkertaisuuden välillä, ratkaisumme on erinomainen vaihtoehto perinteisille RDP Gateway -asennuksille.
Päätelmä
Etätyöpöytäportin määrittäminen auttaa organisaatioita suojaamaan RDP-liikennettä ja tarjoamaan salattua pääsyä ilman, että porttia 3389 altistetaan tai luotetaan VPN:iin. Kuitenkin sertifikaattien, CAL:ien, RAP:ien ja palomuurisääntöjen hallinnan monimutkaisuus voi tehdä RD Gatewayn hallinnasta haastavaa pienemmille tiimeille. TSplus Remote Access tarjoaa yksinkertaisemman, edullisen lähestymistavan, joka tarjoaa saman turvallisen yhteyden vähemmillä esteillä. Olipa kyseessä RD Gatewayn käyttöönotto tai TSplusin valinta, tavoite pysyy samana: mahdollistaa luotettava, turvallinen ja tehokas etäyhteys nykyaikaisten työvoimien tukemiseksi.
TSplus Etäkäyttö Ilmainen Kokeilu
Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi
)
)
)
