Želite li vidjeti stranicu na drugom jeziku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Promijeni jezik
Sadržaj
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Zašto udaljene radne površine zahtijevaju jaku sigurnost?

Remote Desktop nije automatski nesiguran, ali, kao i svaki način daljinske veze, nikada nije sigurniji od sustava oko njega. Za sistemske administratore, pravo pitanje nije je li Remote Desktop siguran u apstraktnom smislu. Pravo pitanje je jesu li krajnja točka, put izloženosti mreži i kontrole računa dovoljno snažni da ga podrže.

To je važno jer trenutne smjernice Microsofta i dalje usredotočuju sigurni Remote Desktop na autentifikaciju na razini mreže (NLA), RD Gateway, TLS certifikate i MFA, a ne na izravnu javnu izloženost. U skladu s tim, CISA i slične smjernice dosljedno potiču organizacije da onemoguće neiskorišteni RDP pristup, ograniče rizične usluge i provedu MFA jer izloženi daljinski pristup ostaje uobičajena putanja za upad. Ipak, smatramo da se može učiniti više.

Koje tri inicijalne provjere određuju rizik od udaljenog radnog stola?

Rizik od krajnje točke

Rizik na krajnjoj točki je stanje same mašine. Potpuno ažurirana Windows radna stanica s modernom zaštitom krajnjih točaka, ograničenim administratorskim pravima i kontroliranim ponašanjem sesije nalazi se u vrlo drugačijoj poziciji u usporedbi s zastarjelim poslužiteljem s širokim lokalnim administratorskim pristupom i zastarjelim vjerodajnicama. Sigurni udaljeni radni stolovi počinju s domaćinom koji je već obramben prije nego što bilo koja udaljena sesija započne.

Rizik izloženosti mreži

Rizik od izloženosti mreži odnosi se na dostupnost. Ako je površina za prijavu dostupna izravno s interneta, stroj je izložen skeniranju, pogađanju lozinki i pokušajima iskorištavanja. Ako je isti host dostupan samo putem VPN-a, RD Gateway-a ili strogo upravljanog sloja pristupa, rizik se bitno mijenja. Microsoft izričito pozicionira RD Gateway kao način za pružanje šifriranog pristupa putem HTTPS-a bez otvaranja unutarnjih RDP portova.

Rizik računa

Rizik računa odnosi se na kvalitetu identiteta i privilegije. Siguran poslužitelj postaje nesiguran brzo kada daljinski prijavi oslanjaju na ponovo korištene lozinke, neaktivne administratorske račune ili široke ovlasti. Microsoftove smjernice za planiranje RDS-a i dalje tretiraju MFA kao osnovnu kontrolu za siguran daljinski pristup, posebno kada je pristup posredovan putem RD Gateway-a.

Zašto se odgovor mijenja za kućno računalo, radnu stanicu u uredu, poslužitelj ili farmu i veću infrastrukturu?

Kućni računala

Kućno računalo obično ima manji radijus eksplozije od produkcijskog poslužitelja, ali se često upravlja manje rigorozno. Potrošački usmjerivači, povremeno prosljeđivanje portova, slabe lokalne lozinke i nedosljedno zakrivanje mogu učiniti kućni sustav iznenađujuće izloženim. Glavni rizik često je loša konfiguracija, a ne namjerni dizajn poduzeća.

Uredske radne stanice

Uredska radna stanica obično se nalazi unutar upravljane mreže, ali to ne uklanja rizik. Ako kompromitirani korisnički račun može daljinski pristupiti radnoj stanici, radna stanica može postati središnja točka za lateralno kretanje, krađu podataka ili eskalaciju privilegija. U praksi, uredski krajnji uređaji trebaju i higijenu krajnjih uređaja i jasnu politiku daljinskog pristupa.

Windows poslužitelji

Windows poslužitelj nosi najveće posljedice. Daljinski pristup datotečnom poslužitelju, poslužitelju aplikacija ili domaćinu sesije daljinskog radnog površine znači da je napadač bliže kritičnim podacima, dijeljenim uslugama i administrativnim alatima. Zato sigurni RD poslužitelji trebaju strože kontrole identiteta, uži pristup i aktivne obrambene kontrole na površini prijave.

Farme i veće infrastrukture

U farmi ili većoj infrastrukturi za daljinski pristup, rizik više nije vezan samo uz jednu mašinu. Jedna slaba radna stanica, izloženi poslužitelj ili previše ovlašteni administratorski račun mogu utjecati na cijelo okruženje koje uključuje objavljene aplikacije, Remote Desktop poslužitelje, web portale, pristupne točke i podržavajuće upravljačke sustave. Za ISV-ove, MSP-ove i IT timove u poduzećima, pravi izazov je dosljednost na mnogim krajnjim točkama i putanjama pristupa .

Ovo mijenja sigurnosno pitanje na dva načina.

Zajedničko izlaganje

Prvo, administratori moraju razmišljati u terminima zajedničke izloženosti umjesto izoliranih hostova.

Skalabilne kontrole

Drugo, potrebne su im kontrole koje se skaliraju kroz miješane okoline, uključujući korisničke radne stanice, sigurne RD poslužitelje i sustave koji su izloženi internetu.

U tom kontekstu, zaštita udaljenih veza znači standardizaciju politike, smanjenje površine napada na cijelom posjedu i centralizirano praćenje autentifikacije i ponašanja sesija umjesto da se to radi za svaki pojedini host.

Endpoint rizik: Je li domaćin spreman za Remote Access?

Prije nego što zaštitite udaljene veze, provjerite zaslužuje li host uopće biti izložen. Počnite s pravilima zakrpa, zaštitom krajnjih točaka, opsegom lokalnog administratora i higijenom spremljenih vjerodajnica. NLA pomaže smanjiti postavljanje neautentificiranih sesija, ali ne nadoknađuje loše održavanu mašinu. Microsoft i dalje preporučuje NLA jer se korisnici autentificiraju. prije nego što se uspostavi sesija koji smanjuje rizik od neovlaštenog pristupa i ograničava angažman resursa na autentificirane korisnike.

Za brzi pregled krajnje točke, provjerite ove stavke:

  1. Je li operativni sustav potpuno ažuriran i podržan?
  2. Jesu li samo potrebni korisnici u grupi korisnika udaljenog radnog površine?
  3. Jesu li lokalna administratorska prava ograničena?
  4. Je li zaštita krajnjih točaka aktivna i nadzirana?
  5. Jesu li spremljene vjerodajnice, sačuvane sesije i neaktivni računi redovito pregledavani?

Ovo je također mjesto gdje se TSplus Advanced Security dobro uklapa kao dodatni sloj zaštite. Naš softver Advanced Security je alat za osiguranje aplikacijskih poslužitelja i Remote Desktop. Iz naše redovito ažurirane dokumentacije, vrijedi istaknuti neke od najrelevantnijih značajki, a to su Bruteforce Protection, Geographic Protection i Ransomware Protection, iz inicijalnog toka konfiguracije.

Rizik izloženosti mreži: Mogu li napadači doći do površine za prijavu?

Izravna izloženost putem interneta

Izravna izloženost RDP-u ostaje najopasniji uobičajeni obrazac. Ako je TCP 3389 dostupan s javnog interneta, stroj postaje otkriven skenerima i prometu brute-force. CISA neprekidno savjetuje organizacijama da onemoguće portove i protokole koji nisu potrebni za poslovnu upotrebu, izričito nazivajući RDP port 3389 u više savjeta o ransomwareu i prijetnjama.

VPN, RD Gateway ili kontrolirani pristupni put

Kontrolirani pristupni put je sigurniji jer sužava izložena vrata. Trenutni Microsoftov Pregled RDS navodi da RD Gateway pruža siguran, šifriran RDP pristup putem HTTPS-a s vanjskih mreža bez otvaranja unutarnjih RDP portova, te podržava MFA i uvjetne politike. To je mnogo jači model od izravnog izlaganja RDP-a.

Gdje se uklapa TSplus Advanced Security?

TSplus Advanced Security je najkorisniji kada vam je potrebna veća kontrola nad izloženim rubom Windows daljinskog pristupa. Od blokiranja hakera do zaštite Remote Desktop i aplikacijskih poslužitelja, od ograničavanja dopuštenih zemalja do stavljanja na crnu listu neprijateljskih IP adresa, ili automatskog odgovaranja na ponašanje brute-force, Advanced Security ima opseg zaštite od 360°. Na primjer, naša online dokumentacija posebno opisuje kako Geografska zaštita radi s ugrađenim vatrozidom Advanced Security. U međuvremenu, Bruteforce Protection automatski stavlja na crnu listu problematične IP adrese nakon ponovljenih neuspjeha.

Trebate li jaču kontrolu nad izloženim udaljenim pristupom, a želite izbjeći dodatnu složenost poduzeća? Dobrodošli da započnete svoje besplatno probno razdoblje TSplus Advanced Security i otkrijete što može učiniti odmah, kao i tijekom sljedećih 15 dana.

Rizik računa: Tko se može prijaviti i s kojim privilegijama?

Akreditivi

Slabe vjerodajnice i dalje su jedan od najbržih načina za gubitak kontrole nad udaljenim računalom. Pristup samo putem lozinke, zajednički administratorski računi i stare uslužne vjerodajnice pretvaraju upravljivu postavku u privlačnu metu. Čak i kada je prijenos šifriran, loša higijena identiteta podriva cijeli dizajn.

Višefaktorska autentifikacija

MFA je jedan od najjasnijih načina za smanjenje tog rizika. Microsoftovo planiranje RDS-a nastavlja se usredotočiti na MFA u sigurnim radnim tokovima udaljenog desktopa, a TSplus 2FA je posebno dizajniran za dodavanje barem drugog faktora za dolazni udaljeni pristup.

Najmanje privilegije

Najmanja privilegija je jednako važna. Na sigurnim RD poslužiteljima, prava za daljinsko prijavljivanje trebala bi biti ograničena na imenovane grupe, administratorske sesije trebale bi biti odvojene od rutinskog korisničkog pristupa, a neaktivni računi trebali bi biti onemogućeni. Ako ne znate točno tko se može daljinski prijaviti, okruženje je već slabije nego što se čini.

Zaključavanje uređaja korisnika

Za dodatni mir, omogućili smo dodatni sloj zaštite u obliku Pouzdanih Uređaja. Ova značajka sigurnosti krajnjih točaka zaključava korisničko ime na njegovom uobičajenom uređaju, čime se omogućava brži odgovor u slučaju gubitka ili krađe.

5-minutna samoproba za sysadmina

Pokrenite ovu brzu provjeru prije nego što pretpostavite da je stroj siguran za Remote Desktop:

  1. Je li port 3389 dostupan s javnog interneta?
  2. Je li NLA omogućena na odredišnom hostu?
  3. Je li daljinski pristup posredovan putem VPN-a, RD Gateway-a ili nekog drugog kontroliranog puta?
  4. Je li MFA obavezna za udaljene prijave?
  5. Jesu li prava za daljinsko prijavljivanje ograničena na najmanju potrebnu grupu?
  6. Je li TSplus Advanced Security ili ekvivalentna zaštita blokiranje napada silom i neprijateljsku IP aktivnost?
  7. Je li domaćin zakrpljen, nadziran i bez zastarjelih privilegiranih računa?

Ako je odgovor na prvo pitanje da, a sljedeća tri ne, tretirajte stroj kao visok rizik.

Što prvo popraviti

Sustavni administratori obično dobivaju najveće smanjenje rizika iz sekvenci, a ne iz volumena. Prvo ispravite redoslijed kontrola.

Započnite uklanjanjem izravne javne izloženosti gdje god je to moguće. Zatim pojačajte identitet s MFA i manjim opsegom prijave. Nakon toga, učvrstite domaćina i dodajte aktivne obrambene kontrole oko površine za daljinski pristup.

Za mnoge SMB i srednje tržišne okruženja, tu postaje TSplus Advanced Security i praktičan i neophodan. Proizvod je razvijen za Windows udaljeni pristup i serverske aplikacije, a naš povezani TSplus članak o sigurna udaljena povezanost s mjestom proširuje ovo, također objašnjavajući zašto je Advanced Security glavni zaštitni sloj za sigurna okruženja za daljinski pristup.

Zaključak: Sigurnost udaljenog radnog stola počinje uzvodno

Koliko je vaš računalni sustav siguran od udaljenog radnog stola manje ovisi o samom Udaljenom Radnom Stolu, a više o provjerama oko njega. Stanje krajnje točke odlučuje je li stroj obramben. Izloženost mreži odlučuje mogu li napadači doći do površine za prijavu. Kontrola računa odlučuje postaje li valjana prijava veliki incident.

Takav je praktičan odgovor za administraciju sustava. Ako želite dobro zaštititi udaljene veze, ne započinjite sa sesijom. Započnite uzvodno s domaćinom, putem izlaganja i slojem identiteta. Kada to bude učinjeno, provedite te odluke s alatima kao što su TSplus Advanced Security i pristupom podržanim MFA-om.

Započnite danas s sveobuhvatna IT sigurnost poslužitelja pojednostavljena .

Dijeli:

Facebook Twitter LinkedIn

Vaš TSplus tim

Daljnje čitanje

back to top of the page icon