Haluaisitko nähdä sivuston eri kielellä?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Vaihda kieltä
Sisällysluettelo

Johdanto

Etätyöpöytä on välttämätön hallintatyöhön ja loppukäyttäjän tuottavuuteen, mutta TCP/3389:n altistaminen internetille houkuttelee bruteforce-hyökkäyksiä, käyttäjätunnusten uudelleenkäyttöä ja hyökkäysskannausta. "VPN etätyöpöydälle" asettaa RDP:n takaisin yksityisen rajan taakse: käyttäjät todennuttavat ensin tunnelin kautta, ja sitten käynnistävät mstsc sisäisiin isäntiin. Tämä opas selittää arkkitehtuurin, protokollat, turvallisuusperusteet ja vaihtoehdon: TSplusin selainpohjainen pääsy, joka välttää VPN-altistumisen.

TSplus Etäkäyttö Ilmainen Kokeilu

Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi

Aloita ilmainen kokeilu

Mikä on VPN etätyöpöydälle?

VPN etätyöpöydälle on malli, jossa käyttäjä luo salatun tunnelin yritysverkkoon ja käynnistää sen jälkeen etätyöpöytäasiakkaan isäntään, joka on saavutettavissa vain sisäisillä aliverkoilla. Tavoitteena ei ole korvata RDP:tä, vaan kapseloida se, jotta RDP-palvelu pysyy näkymättömänä julkiselle internetille ja on saavutettavissa vain todennetuilla käyttäjillä.

Tällä erolla on merkitystä toiminnallisesti. Käsittele VPN:ää verkon tason pääsynä (saat reitit ja sisäisen IP-osoitteen) ja RDP:tä istunnon tason pääsynä (pääset tiettyyn Windows-koneeseen politiikan ja auditoinnin kanssa). Näiden kerrosten erottaminen selkeyttää, mihin hallintatoimia sovelletaan: identiteetti ja segmentointi VPN-rajoilla sekä istunnon hygienia ja käyttäjäoikeudet RDP-kerroksella.

Kuinka RDP VPN:n yli toimii?

  • Pääsytapa: Verkkopääsy, sitten työpöytä pääsy
  • Ohjauspisteet: Identiteetti, Reititys ja Politiikka

Pääsytapa: Verkkopääsy, sitten työpöytä pääsy

“VPN for Remote Desktop” tarkoittaa, että käyttäjät ensin saavat verkkopääsyn yksityiseen segmenttiin ja vasta sitten avaavat työpöytäsession sen sisällä. VPN myöntää rajatun sisäisen identiteetin (IP/reititys), jotta käyttäjä voi saavuttaa tietyt aliverkot, joissa RDP isännöi live, ilman TCP/3389:n julkaisemista internetiin. RDP:tä ei korvata VPN:llä; se on vain sen sisällä.

Käytännössä tämä erottaa huolenaiheet selkeästi. VPN valvoo, kuka saa liittyä ja mitkä osoitteet ovat saavutettavissa; RDP säätelee, kuka voi kirjautua tiettyyn Windows-isäntään ja mitä he voivat ohjata (leikepöytä, asemat, tulostimet). Näiden kerrosten erottaminen selkeyttää suunnittelua: todenna reuna-alueella, sitten valtuuta istunto pääsy kohdelaitteilla.

Ohjauspisteet: Identiteetti, Reititys ja Politiikka

Äänikokoonpano määrittelee kolme hallintapistettä. Identiteetti: MFA-tukema todennus yhdistää käyttäjät ryhmiin. Reititys: kapeat reitit (tai VPN-allas) rajoittavat, mitä aliverkkoja voidaan saavuttaa. Politiikka: palomuuri/ACL-säännöt sallivat vain 3389 VPN-segmentistä, kun Windowsin politiikat rajoittavat RDP-kirjautumisoikeuksia ja laiteohjausta. Yhdessä nämä estävät laajan LAN-altistuksen.

DNS ja nimeäminen täydentävät kuvaa. Käyttäjät ratkaisevat sisäiset isäntänimet jakautuneen horisontin DNS:n kautta, yhdistäen palvelimiin vakaita nimiä käyttäen hauraiden IP-osoitteiden sijaan. Sertifikaatit, lokitus ja aikakatkaisut lisäävät sitten operatiivista turvallisuutta: voit vastata siihen, kuka yhdisti, mihin isäntään, kuinka pitkäksi aikaa—todistaen, että RDP pysyi yksityisenä ja politiikan mukaisena VPN-rajan sisällä.

Mitkä ovat turvallisuusperusteet, joita on sovellettava?

  • MFA, vähimmäisoikeus ja lokitus
  • RDP:n koventaminen, jakotunneli ja RD Gateway

MFA, vähimmäisoikeus ja lokitus

Aloita monivaiheisen todennuksen käyttöönotolla ensimmäisessä sisäänkäynnissä. Jos pelkkä salasana avaa tunnelin, hyökkääjät kohdistavat sen. Liitä VPN-pääsy AD- tai IdP-ryhmiin ja kartoita nämä ryhmät kapeisiin palomuuripolitiikkoihin siten, että vain RDP-isäntiä sisältävät aliverkot ovat saavutettavissa, ja vain käyttäjille, jotka tarvitsevat niitä.

Keskitetty havaittavuus. Korreloi VPN-istunnon lokit, RDP-kirjautumistapahtumat ja portaalin telemetria, jotta voit vastata kysymyksiin siitä, kuka yhdisti, milloin, mistä ja mihin isäntään. Tämä tukee tarkastustarpeita, tapahtumien luokittelua ja ennakoivaa hygieniaa - paljastaen passiiviset tilit, poikkeavat maantieteelliset sijainnit tai epätavalliset kirjautumisaikataulut, jotka vaativat tutkimista.

RDP:n koventaminen, jakotunneli ja RD Gateway

Pidä verkkotason todennus käytössä, päivitä usein ja rajoita "Salli kirjautuminen etätyöpöytäpalveluiden kautta" eksplisiittisiin ryhmiin. Poista tarpeettomat laiteohjaukset—levyt, leikepöytä, tulostimet tai COM/USB—oletusarvoisesti, ja lisää poikkeuksia vain siellä, missä se on perusteltua. Nämä hallintatoimenpiteet vähentävät tietojen poistumispolkuja ja pienentävät hyökkäyspintaa istunnon aikana.

Päätä jakaa tunnelointi tarkoituksellisesti. Hallintatyöasemille suositaan täydellistä tunnelia, jotta turvallisuusohjaimet ja valvonta pysyvät reitillä. Yleisiä käyttäjiä varten jakava tunnelointi voi parantaa suorituskykyä, mutta dokumentoi riski ja varmista. DNS käyttäytyminen. Tarvittaessa kerro Remote Desktop Gateway, jotta RDP päättyy HTTPS:n yli ja lisää toinen MFA- ja politiikkapiste ilman, että raaka 3389 altistuu.

Mikä on VPN:n käyttöönotto tarkistuslista etätyöpöydälle?

  • Suunnitteluperiaatteet
  • Toimi ja Tarkkaile

Suunnitteluperiaatteet

Älä koskaan julkaise TCP/3389 internetissä. Aseta RDP-kohteet aliverkkoihin, jotka ovat saavutettavissa vain VPN-osoitepoolista tai kovetetuista porteista, ja käsittele tätä polkua ainoana totuuden lähteenä pääsyä varten. Määritä henkilöt pääsytavoille: ylläpitäjät voivat säilyttää VPN:n, kun taas urakoitsijat ja BYOD-käyttäjät hyötyvät välitetystä tai selainpohjaisista sisäänkäynneistä.

Leipoa vähimmäisoikeudet ryhmäsuunnitteluun ja palomuurisäännöt Käytä selkeästi nimettyjä AD-ryhmiä RDP-kirjautumisoikeuksille ja yhdistä ne verkon ACL:iin, jotka rajoittavat, kuka voi kommunikoida minkä isäntien kanssa. Yhdistele DNS, sertifikaatit ja isäntänimen strategia varhaisessa vaiheessa välttääksesi hauraat kiertotiet, jotka muuttuvat pitkäaikaisiksi vastuiksi.

Toimi ja Tarkkaile

Instrumentoi molemmat kerrokset. Seuraa VPN-yhteyksien samanaikaisuutta, vikaantumisprosentteja ja maantieteellisiä malleja; RDP-isännillä mittaa kirjautumisaikoja, istunnon viivettä ja uudelleenohjausvirheitä. Syötä lokit SIEM:iin, jossa on hälytyksiä bruteforce-malleista, outoista IP-maineista tai äkillisistä piikeistä epäonnistuneissa NLA-yrityksissä nopeuttaaksesi vastausta.

Standardoi asiakastavoitteet. Pidä yllä pientä matriisia tuetuista käyttöjärjestelmistä/selaimista/RDP-asiakasversioista ja julkaise nopeita korjausoppaita DPI-skaalaukselle, moninäyttöjärjestykselle ja tulostimen uudelleenohjaukselle. Tarkista jakotunnelin asento, poikkeuslistat ja käyttämättömyysaikapolitiikat neljännesvuosittain riskin ja käyttäjäkokemuksen tasapainottamiseksi.

Mitä voivat olla yleiset VPN-vaihtoehdot RDP:lle?

  • Cisco Secure Client
  • OpenVPN Access Server
  • SonicWall NetExtender

Cisco Secure Client (AnyConnect) ASA/FTD:llä

Cisco AnyConnect (now Cisco Secure Client) päättyy ASA- tai Firepower (FTD) -portteihin tarjotakseen SSL/IPsec VPN: n tiukalla AD/IdP-integraatiolla. Voit varata omistetun VPN IP -altaan, vaatia MFA: ta ja rajoittaa reittejä niin, että vain RDP-aliverkko on saavutettavissa—pitäen TCP/3389 yksityisenä samalla kun ylläpidät yksityiskohtaisia lokitietoja ja tilatarkistuksia.

Se on vahva "VPN for RDP" vaihtoehto, koska se tarjoaa kypsää HA:ta, jakautunutta/koko tunnelin hallintaa ja hienojakoisia ACL:itä yhden konsolin alla. Cisco-verkkoihin standardisoituvat tiimit saavat johdonmukaisia toimintoja ja telemetriaa, kun taas käyttäjät saavat luotettavia asiakkaita Windows-, macOS- ja mobiilialustoilla.

OpenVPN Access Server

OpenVPN Access Server on laajasti käytetty ohjelmistopohjainen VPN, joka on helppo ottaa käyttöön paikallisesti tai pilvessä. Se tukee ryhmäkohtaisia reitityksiä, MFA:ta ja sertifikaattivarmennusta, jolloin voit altistaa vain sisäiset aliverkot, jotka isännöivät RDP:tä, samalla kun 3389 jää reitittämättömäksi internetistä. Keskitetty hallinta ja vankka asiakassaatavuus yksinkertaistavat monialustaisia käyttöönottoja.

VPN RDP -vaihtoehtona se loistaa SMB/MSP-konteksteissa: nopea porttien pystyttäminen, skriptattu käyttäjien rekisteröinti ja suoraviivainen lokitus siitä, "kuka yhdisti mihin isäntään ja milloin." Vaihdat joitakin toimittajaintegroituja laitteistotoimintoja joustavuuden ja kustannusten hallinnan vuoksi, mutta säilytät olennaisen tavoitteen - RDP yksityisessä tunnelissa.

SonicWall NetExtender / Mobile Connect SonicWall-palomuureilla

SonicWallin NetExtender (Windows/macOS) ja Mobile Connect (mobiili) yhdistyvät SonicWall NGFW:hen tarjotakseen SSL VPN:ää TCP/443:n yli, hakemistoryhmän kartoitusta ja käyttäjäkohtaisia reittimäärityksiä. Voit rajoittaa saavutettavuutta RDP VLAN:ille, pakottaa MFA:n ja valvoa istuntoja samasta laitteesta, joka valvoo reunaturvallisuutta.

Tämä on hyvin tunnettu "VPN for RDP" vaihtoehto, koska se yhdistää vähimmäisoikeusreitin käytännölliseen hallintaan sekoitetuissa SMB/haara-ympäristöissä. Järjestelmänvalvojat pitävät 3389 poissa julkiselta reunalta, myöntävät vain RDP-isäntien tarvitsemat reitit ja hyödyntävät SonicWallin HA:ta ja raportointia täyttääkseen auditointi- ja operatiiviset vaatimukset.

Kuinka TSplus Remote Access on turvallinen ja yksinkertainen vaihtoehto?

TSplus Etäyhteys toimittaa "VPN for RDP" -tuloksen ilman laajojen verkkotunnelien luomista. Sen sijaan, että myöntäisit käyttäjille reittejä koko aliverkkoihin, julkaiset tarkalleen sen, mitä he tarvitsevat - tietyt Windows-sovellukset tai täydelliset työpöydät - turvallisen, brändätyn HTML5-verkkoportaalin kautta. Raaka RDP (TCP/3389) pysyy yksityisenä TSplus Gatewayn takana, käyttäjät todennuttavat itsensä ja pääsevät sitten suoraan valtuutettuihin resursseihin mistä tahansa modernista selaimesta Windowsissa, macOS:ssä, Linuxissa tai ohutasiakkaissa. Tämä malli säilyttää vähimmäisoikeudet altistamalla vain sovellus- tai työpöytäpisteet, ei LAN:ia.

Toiminnallisesti TSplus yksinkertaistaa käyttöönottoa ja tukea verrattuna perinteisiin VPN:iin. Käyttäjäkohtaisia VPN-asiakasohjelmien jakeluja ei ole, reitityksessä ja DNS:ssä on vähemmän erityistapauksia, ja käyttäjäkokemus on johdonmukainen, mikä vähentää tukipyyntöjä. Järjestelmänvalvojat hallitsevat oikeuksia keskitetysti, skaalaavat portteja vaakasuunnassa ja ylläpitävät selkeitä tarkastuskäytäntöjä siitä, kuka pääsi mihin työpöytään tai sovellukseen ja milloin. Tuloksena on nopeampi perehdytys, pienempi hyökkäyspinta ja ennakoitavissa olevat päivittäiset toiminnot sekoitetuissa sisäisissä, urakoitsija- ja BYOD-ryhmissä.

Päätelmä

VPN:n asettaminen RDP:n eteen palauttaa yksityisen rajan, pakottaa MFA:n ja rajoittaa altistumista ilman, että päivittäinen työ monimutkaistuu. Suunnittele vähimmäisoikeuksien mukaan, instrumentoi molemmat kerrokset ja pidä 3389 poissa internetistä. Sekalaisille tai ulkoisille käyttäjille TSplus tarjoaa turvallisen, selainpohjaisen etäkäyttöratkaisu kevyemmillä toiminnoilla ja puhtaammalla tarkastettavuudella.

Jaa:

Facebook Twitter LinkedIn

Sinun TSplus tiimisi

Lisätietoja

back to top of the page icon