Szeretné, ha a webhely más nyelven lenne?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Nyelv váltása
Tartalomjegyzék
Banner for article "Can Remote Desktop Be Hacked? A Practical Risk Score for Prevention", bearing article title, TSplus Advanced Security logo, website and illustration (metallic ball showing a locked padlock).

A távoli asztali hozzáférést meg lehet hackelni, de a legtöbb eset nem hollywoodi kihasználás. A legtöbb eset előre látható következménye a kiszolgáltatott szolgáltatásoknak, az újrahasználható hitelesítő adatoknak és a túl széles hozzáférésnek. Ez az útmutató egy eszközfüggetlen kockázati pontszámot ad az IT csapatoknak, amely az RDP-re, HTML5 portálokra, VDI-re és távoli támogatási eszközökre vonatkozik, majd a pontszámot a prioritási javításokhoz térképezi.

Mit jelent a "Hacked" a Remote Desktop eszközök számára?

A távoli asztal nem egy termék. A távoli asztal egy hozzáférési útvonalak halmaza, amely tartalmazhatja a Microsoft Remote Desktop Protocol (RDP), a Remote Desktop Services, a VDI-t, mint például az Azure Virtual Desktop, a böngészőportálokat, amelyek egy munkamenetet közvetítenek, és a távoli támogatási eszközöket, amelyek igény szerint kapcsolódásokat hoznak létre.

Incidens jelentésekben a „távoli asztal feltört” általában az alábbi eredmények egyikét jelenti:

  • Fiók átvétele: a támadó normálisan bejelentkezik ellopott vagy kitalált hitelesítő adatokkal.
  • Hozzáférési útvonal visszaélés: egy nyitott átjáró, nyitott port, gyenge irányelv vagy hibás konfiguráció megkönnyíti a jogosulatlan hozzáférést.
  • Bejelentkezés utáni kár: a támadó jogosult munkamenet-képességet használ a vízszintes mozgáshoz, adatok kiszivárogtatásához vagy zsarolóvírus telepítéséhez.

Ez a megkülönböztetés fontos, mert megelőzés a sikeres bejelentkezés esélyének csökkentéséről és arról, hogy mit tehet egy bejelentkezés.

Miért célozzák meg a Távoli Asztalt?

A távoli asztali hozzáférés vonzó, mert interaktív és magas jogosultságú tervezésű. Az RDP elterjedt, széles körben támogatott, és gyakran elérhető a 3389-es TCP porton, ami megkönnyíti a szkennelést és a célzást. A Vectra összefoglalja a alapvető probléma Az RDP elterjedtsége és az általa biztosított hozzáférési szint gyakori célponttá teszi, amikor nem kezelik megfelelően.

A Cloudflare ugyanazokat a kockázati tényezőket keretezi két visszatérő gyengeséggel: gyenge hitelesítéssel és korlátlan porthozzáféréssel, amelyek egyesülnek a brute force és a hitelesítő adatok töltögetésének lehetőségeivel, amikor az RDP ki van téve.

A középkategóriás valóság szintén növeli a kockázatot. A hibrid munka, a beszállítói hozzáférés, a fúziók és a decentralizált IT-műveletek „hozzáférési terjedést” okoznak. A távoli hozzáférés gyorsabban terjed, mint a politika és a megfigyelés, és a támadók ezt a rést részesítik előnyben.

Mi a távoli asztali hack kockázati pontszám (RDRS)?

A Távoli Asztal Hack Kockázati Pontszám (RDRS) egy gyors, tervezési időszakos modell. A cél nem a biztonsági audit helyettesítése. A cél a kockázati tényezők rangsorolása, hogy egy IT csapat három változtatást végezzen, amelyek mindegyike gyorsan csökkenti a kompromittálódás valószínűségét.

Minden pillért értékelj 0-tól 3-ig. Összegezd őket, hogy a végeredmény 15-ből legyen.

  • 0: erős ellenőrzés, alacsony gyakorlati kockázat
  • 1: többnyire ellenőrzött, kisebb hiányosságok
  • 2: részleges ellenőrzés, reális támadási útvonal létezik
  • 3: magas kockázat, valószínűleg idővel kihasználják

1. Pillér: Exponált felület

A kitettségi felület arról szól, hogy mit érhet el egy támadó kívülről. A legmagasabb kockázatú minta továbbra is a "közvetlenül elérhető távoli asztali szolgáltatások", minimális bejárati ellenőrzésekkel.

Pontozási útmutató:

  1. 0: a távoli asztal nem érhető el az interneten; a hozzáférés ellenőrzött utakon keresztül történik.
  2. 1: a távoli asztal csak korlátozott hálózatokon keresztül érhető el, VPN vagy szigorúan körülhatárolt engedélyezett listák.
  3. 2: a gateway vagy portál internet felé néz, de a szabályzatok következetlenek az alkalmazások, csoportok vagy régiók között.
  4. 3: közvetlen kitettség létezik (gyakori példák közé tartozik az nyitott RDP, elfelejtett NAT szabályok, engedékeny felhőbiztonsági csoportok).

Gyakorlati megjegyzés vegyes ingatlanokhoz:

A kitettségi felület az RDP, VDI átjárókra, HTML5 portálokra és távoli támogatási konzolokra vonatkozik. Ha bármelyik nyilvános bejárat, a támadók megtalálják.

Pillér 2: Identitásfelület

Az identitásfelület azt jelenti, hogy mennyire könnyű egy támadó számára, hogy érvényes felhasználóvá váljon. A Cloudflare kiemeli jelszó újrahasználat és kezelhetetlen hitelesítő adatok kulcsfontosságú tényezőkként a hitelesítő adatok töltögetéséhez és a bruteforce támadásokhoz a távoli hozzáférési forgatókönyvekben.

Pontozási útmutató:

  • 0: MFA szükséges, a privilégiumos fiókok elkülönítve vannak, és a régi hitelesítés nem megengedett.
  • 1: A MFA létezik, de nem mindenhol, kivételek vannak a „csak egy szerver” vagy a „csak egy szolgáltató” esetében.
  • 2: a jelszavak a fő ellenőrzést jelentik néhány távoli asztali útvonal vagy megosztott adminisztrátori identitás létezése esetén.
  • 3: Az interneten elérhető bejelentkezés csak jelszavakra támaszkodik, vagy helyi fiókokat használnak széles körben a szervereken.

Gyakorlati megjegyzés:

A személyazonosság az, ahol a távoli asztali biztonság általában először megbukik. A támadóknak nincs szükségük kihasználásra, ha a hitelesítés könnyű.

3. pillér: Engedélyezési felület

Az engedélyezési felület az, amit egy érvényes felhasználó elérhet, és mikor. Sok környezet arra összpontosít, hogy ki tud bejelentkezni, de kihagyja, hogy ki tud bejelentkezni hova, honnan, mely időablakban.

Pontozási útmutató:

  • 0: a legkisebb jogosultságú hozzáférés érvényesítve van az alkalmazások vagy asztalok esetében explicit csoportokkal, plusz külön adminisztrátori útvonalakkal.
  • 1: csoportok léteznek, de a hozzáférés széleskörű, mert operatívan egyszerűbb.
  • 2: a felhasználók túl sok szerverhez vagy asztali számítógéphez férhetnek hozzá; az időkorlátok és a forráskorlátok következetlenek.
  • 3: bármely hitelesített felhasználó elérheti a központi rendszereket, vagy az adminisztrátorok RDP-n keresztül bárhonnan elérhetik a nem kezelt végpontokat.

Gyakorlati megjegyzés:

A jogosultság az a pillér is, amely a legjobban támogatja a középvállalati keveréket. Amikor a Windows, a macOS, a vállalkozók és a harmadik fél szolgáltatók mind hozzáférésre van szükségük, a részletes jogosultság az a kontroll, amely megakadályozza, hogy egy érvényes bejelentkezés általános hozzáféréssé váljon.

4. pillér: Ülés és végpont felület

A munkafelület az, amit egy távoli munkamenet tehet, miután elindult. Végponti felület az, hogy a csatlakozó eszköz elég megbízható-e a megadott hozzáféréshez.

Pontozási útmutató:

  • 0: A privilegizált hozzáférés megerősített adminisztrátori munkaállomásokat vagy ugró hosztokat igényel; a magas kockázatú munkamenet funkciók ott korlátozottak, ahol szükséges.
  • 1: A munkamenet-vezérlők léteznek, de nincsenek összhangban az adatok érzékenységével.
  • 2: az végpontok egy vegyes kezelése és nem kezelt állapotúak, ugyanazokkal a munkamenet-képességekkel.
  • 3: a magas jogosultságú távoli asztali hozzáférés bármely eszközről, minimális korlátozásokkal engedélyezett.

Gyakorlati megjegyzés:

Ez az oszlop különösen releváns a böngészőalapú hozzáférés szempontjából. Az HTML5 portálok eltávolítják az operációs rendszerrel kapcsolatos nehézségeket és egyszerűsítik a bevezetést, de megkönnyítik a széleskörű hozzáférés biztosítását is. A politikai kérdés az lesz, hogy "mely felhasználók kapnak böngészőhozzáférést mely erőforrásokhoz".

5. pillér: Műveleti felület

A működési felület a karbantartási helyzet, amely meghatározza, hogy mennyi ideig maradnak érvényben a gyengeségek. Ez nem észlelési mérnökség. Ez a megelőzés valósága: ha a javítások és a konfiguráció eltérések lassúak, a kitettség visszatér.

Pontozási útmutató:

  • 0: a távoli hozzáférési komponensek gyorsan javítva vannak; a konfiguráció verziózva van; a hozzáférési felülvizsgálatok ütemezés szerint történnek.
  • 1: A javítások jók a szerverek számára, de gyengék a kapuk, bővítmények vagy támogató szolgáltatások esetében.
  • 2: drift létezik; kivételek felhalmozódnak; örökölt végpontok megmaradnak.
  • 3: a tulajdonjog nem világos, és a távoli hozzáférés változásai nincsenek nyomon követve a teljes folyamat során.

Gyakorlati megjegyzés:

Az üzemeltetési felület az, ahol a középvállalati összetettség a legjobban megjelenik. Ha nem kezelik megfelelően, több csapat és több eszköz rést hagy, amelyet a támadók türelmesen kihasználhatnak.

Hogyan jutsz el a pontozástól a védelmi intézkedésig?

A pontszám csak akkor hasznos, ha megváltoztatja, hogy mi történik ezután. Használja az összesítettet egy potenciális változási forgatókönyv kiválasztásához. Ne feledje, hogy a cél a kitettség csökkentése a kockázat minimalizálása érdekében.

  • 0–4 (Alacsony): érvényesítse a driftet, szorítsa meg a fennmaradó gyenge pillért, és érvényesítse a következetességet az eszközök között.
  • 5–9 (Közepes): először a kitettséget és az identitást helyezze előtérbe, majd szigorítsa az engedélyezést.
  • 10–15 (Magas): azonnal távolítsa el a közvetlen expozíciót, adjon hozzá erős hitelesítést, majd agresszíven szűkítse le a hozzáférési terjedelmet.

Forgatókönyv 1: IT admin RDP plus végfelhasználói VDI

A gyakori minta az, hogy „az adminisztrátorok RDP-t használnak, a felhasználók VDI-t.” A támadási út általában a leggyengébb identitáson vagy a legjobban ki van téve adminisztrátori úton keresztül történik, nem pedig magán a VDI terméken.

Prioritásos javítások:

  1. Csökkentse az adminisztrátori útvonalak kitettségét először, még akkor is, ha a végfelhasználói hozzáférés változatlan marad.
  2. Kényszerítse a privilegizált fiókok elkülönítését és MFA konzisztensen.
  3. Korlátozza, hogy mely gazdagépek fogadhatják az adminisztrátori interaktív bejelentkezéseket.

Megjegyzés:

Ez a forgatókönyv előnyös, ha az adminisztrátori hozzáférést külön termékként és külön politikával kezeljük, még akkor is, ha ugyanaz a platform mindkettőt tartalmazza.

2. forgatókönyv: Vállalkozók és BYOD HTML5-en keresztül

Böngészőalapú hozzáférés hasznos híd a vegyes operációs rendszerű környezetekben. A kockázat az, hogy az "egyszerű hozzáférés" "széles hozzáféréssé" válik.

Prioritásos javítások:

  • Használd HTML5 portál mint egy ellenőrzött bejárati ajtó, nem egy általános átjáró.
  • Kiadjon specifikus alkalmazásokat a vállalkozók számára, a teljes asztalok helyett, amikor csak lehetséges.
  • Használjon időkorlátozásokat és csoportalapú hozzárendelést, így a vállalkozói hozzáférés automatikusan megszűnik, amikor az ablak bezárul.

Megjegyzés:

A TSplus Remote Access egy HTML5 kliensmodellt ír le, ahol a felhasználók egy testreszabható webportálon keresztül jelentkeznek be, és teljes asztali környezetet vagy közzétett alkalmazásokat érnek el a böngészőn belül. Javasoljuk az egyszeri bejelentkezést és a többfaktoros hitelesítést, hogy hozzájáruljunk a böngészőalapú bejelentkezési folyamat szigorú biztonságához.

Forgalmi 3: Távsegítő eszközök ugyanabban az ingatlanban

A távoli támogatási eszközöket gyakran figyelmen kívül hagyják, mert „helpdesk-hez” valók, nem pedig „termeléshez”. A támadók nem törődnek ezzel. Ha a támogatási eszköz képes létrehozni a felügyelet nélküli hozzáférést vagy emelni a jogosultságokat, akkor a távoli asztali támadási felület részévé válik.

Prioritásos javítások:

  • Válassza el a helpdesk funkciókat az adminisztrátori funkcióktól.
  • Korlátozza a felügyelet nélküli hozzáférést a kifejezett csoportokra és az engedélyezett végpontokra.
  • Igazítsa a támogatási eszköz hitelesítését a vállalati identitással és a MFA-val, ahol lehetséges.

Megjegyzés:

Például, hogy elkerüljük a támogatással kapcsolatos problémákat, a TSplus Remote Support önállóan hosztolt, a meghívókat a házigazda generálja a támogatási ügynök számára, és a bejelentkezési kódok egyszer használatos számkészletek, amelyek minden alkalommal megváltoznak. Ráadásul a házigazda általi alkalmazás egyszerű bezárása teljesen megszakítja a kapcsolatot.

Hol illeszkedik a TSplus Remote Access a "Kitettség csökkentése" mintába?

Szoftvertermék által vezérelt biztonság

A megelőzési tervezésben a TSplus Remote Access kiadási és szállítási mintaként illeszkedik: standardizálhatja vagy megkülönböztetheti, hogy a felhasználók és csoportok hogyan csatlakoznak, mit érhetnek el, valamint mikor és mely eszközről, így a távoli hozzáférés politikai alapúvá válik, nem pedig ad hoc.

TSplus Advanced Security a célja, hogy megvédje az alkalmazás szervereket, és semmit sem bízzon a véletlenre. A telepítés pillanatától kezdve a már ismert rosszindulatú IP-ket blokkolja, amint elkezd működni. Gondosan kiválasztott funkciói mind hozzájárulnak a biztonsághoz és szerverei és alkalmazásai védelme , és ezért minden asztal.

Kapcsolati módok mint politikai választások (RDP, RemoteApp, HTML5…)

Amikor a kapcsolatmódokat „csupán UX”-ként kezelik, a biztonsági döntések elmaradnak. A TSplus Remote Access három jobban ismert kapcsolatmódot kínál: RDP kliens, RemoteApp kliens és HTML5 kliens, mindegyik más-más szállítási élményt biztosít. Gyorsindító útmutatónk bővíti a rugalmas lehetőségek listáját, amely magában foglalja a klasszikus Remote Desktop Connection-t, a hordozható TSplus RDP klienst, az MS RemoteApp klienst, valamint a Windows és HTML5 klienseket a webportálon keresztül.

Egy megelőzés mellett:

A kapcsolati módok csökkenthetik a kockázatot, amikor segítenek a következetesség érvényesítésében.

  • Az RDP klienshozzáférés belső maradhat az adminisztrátori munkafolyamatokhoz, míg a végfelhasználók a közzétett alkalmazásokat használják.
  • A RemoteApp csökkenti a „teljes asztali kitettséget” azok számára, akiknek csak egy alkalmazásra van szükségük.
  • Az HTML5 helyettesítheti a törékeny végponti előfeltételeket, ami segít érvényesíteni egy ellenőrzött bejáratot a sok improvizált helyett.

TSplus Advanced Security a „guard RDP” előrehaladásban

A kockázati pontszám általában azonosítja a legfőbb problémákat: internetes zaj, ismételt hitelesítési kísérletek és következetlen hozzáférési minták a szerverek között. Itt helyezkedik el a TSplus Advanced Security, mint egy védőréteg a távoli asztali környezetek számára, beleértve ransomware-ellenes védelem és a termékeink, dokumentációink vagy blogoldalaink által leírt session-hardening témák.

A kockázati pontszám modellben az Advanced Security támogatja a megelőzés „valószínűség csökkentése” részét:

  • Zavarja meg a hitelesítő adatokkal való visszaélési kísérleteket, hogy a jelszó kitalálás ne maradjon háttérállandó.
  • Korlátozza a hozzáférési útvonalakat IP és földrajzi szabályokkal, amikor a nyilvános bejárat elkerülhetetlen.
  • Adjon hozzá védelmi elsődleges vezérlőket, amelyek csökkentik annak esélyét, hogy egyetlen bejelentkezés ransomware hatást gyakoroljon.

Következtetés: Elég lesz a megelőzés?

A kockázati pontozás csökkenti a kompromittálódás valószínűségét. Nem garantálja a biztonságot, különösen vegyes környezetekben, ahol a hitelesítő adatok phishing vagy infostealer által ellophatók. Ezért a detektálás és a választervezés továbbra is fontos. Pontozza az öt pillért, először javítsa a leggyengébbet, majd pontozza újra, amíg a távoli hozzáférés kontrollált szolgáltatássá nem válik, nem pedig kivételek halmazává.

Általában törekedjen a következetességre. Standardizálja a hozzáférési utakat, használjon HTML5-öt, ahol az eltávolítja a végponti akadályokat anélkül, hogy szélesítené a hatókört, és csak azt publikálja, amire minden csoportnak szüksége van, világos időkeretekkel.

Ahogy fent látható, a Remote Access struktúrákat és közzéteszi a hozzáférést, miközben Advanced Security megvédi a hozzáférés mögötti szervereket a támadókkal szemben, akik nyomást gyakorolnak a peremre. A kérdés nem az, hogy lesznek-e támadók. Inkább az, hogy „mennyire jól védett a peremed?”.

További olvasmányok és teendők:

Ehhez a nézethez, azoknak a csapatoknak, akik a következő szintet szeretnék, az RDP-vezérelt zsarolóvírus behatolásokra összpontosító észlelési mérnöki útmutatónk érdekes lehet. Magas jelű mintákra mutat és a " mit tegyünk az első 30–60 percben .” Nagyszerű nyomon követés, miután a megelőzési modell bevezetésre került, ötleteket is adhat az Advanced Security és más TSplus szoftverbeállítások maximalizálására az infrastruktúrája biztonsága érdekében.

TSplus Távoli Hozzáférés Ingyenes Próbaverzió

Végső Citrix/RDS alternatíva asztali/alkalmazás hozzáféréshez. Biztonságos, költséghatékony, helyben/felhőben.

Indítsa el a ingyenes próbaverziót

GYIK:

A távoli asztal feltörhető, még ha a szoftver "biztonságos" is?

Igen. A legtöbb kompromisszum nyitott hozzáférési utakon és gyenge azonosításon keresztül történik, nem szoftverhibán keresztül. A távoli asztal gyakran az a csatorna, amelyet a hitelesítő adatok megszerzése után használnak.

Az RDP alapvetően nem biztonságos?

Az RDP önmagában nem veszélyes, de az RDP magas kockázatúvá válik, amikor interneten elérhető és főként jelszavakkal védett. A portcélzás és a gyenge hitelesítés gyakori okok.

Csökkenti a HTML5 távoli asztali portál a hackelés kockázatát?

Központosíthatja a hozzáférést egyetlen, ellenőrzött bejárati ajtó mögött, amely következetes hitelesítést és jogosultságot biztosít. Növeli a kockázatot, ha megkönnyíti a széleskörű hozzáférés engedélyezését szigorú irányelvek nélkül.

Mi a leggyorsabb módja a távoli asztali hackelés kockázatának csökkentésére?

Először csökkentse a kitettséget, majd erősítse meg az identitást. Ha egy távoli asztali útvonal nyilvánosan elérhető és jelszó alapú, akkor a környezetről feltételezni kell, hogy "végül kompromittált".

Hogyan tudom, hogy mit javítsak először egy vegyes környezetben?

Használjon kockázati pontszámot, mint az RDRS, és először a legmagasabb pillért javítsa. A legtöbb környezetben a Kitettség és a Identitás a legnagyobb kockázatcsökkenést eredményezi az eltöltött óránként.

Megosztás:

Facebook Twitter LinkedIn

Az Ön TSplus csapata

További olvasmányok

back to top of the page icon