Szeretné, ha a webhely más nyelven lenne?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Nyelv váltása
Tartalomjegyzék
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Miért van szükség a távoli asztalok erős biztonságára?

A Távoli Asztal nem automatikusan veszélyes, de mint bármely távoli kapcsolati mód, soha nem biztonságosabb, mint a körülötte lévő rendszer. A rendszeradminisztrátorok számára a helyes kérdés nem az, hogy a Távoli Asztal absztrakt módon biztonságos-e. A helyes kérdés az, hogy a végpont, a hálózati kitettség és a fiókellenőrzések elég erősek-e ahhoz, hogy támogassák azt.

Az a keretezés fontos, mert a Microsoft jelenlegi irányelvei továbbra is a biztonságos Remote Desktopot a Hálózati Szintű Hitelesítésre (NLA), az RD Gatewayre, a TLS tanúsítványokra és a MFA-ra összpontosítanak, nem pedig a közvetlen nyilvános kitettségre. Ennek megfelelően, CISA és hasonló iránymutatások következetesen arra ösztönzik a szervezeteket, hogy tiltsák le a nem használt RDP-hozzáférést, korlátozzák a kockázatos szolgáltatásokat és érvényesítsék a MFA-t, mivel a nyitott távoli hozzáférés továbbra is gyakori behatolási útvonal. Mégis úgy gondoljuk, hogy van még tennivaló.

Mely három kezdeti ellenőrzés határozza meg a Remote Desktop kockázatát?

Végponti kockázat

A végponti kockázat a gép állapotát jelenti. Egy teljesen frissített Windows munkaállomás, modern végponti védelemmel, korlátozott adminisztrátori jogokkal és ellenőrzött munkamenet viselkedéssel nagyon más helyzetben van, mint egy elavult szerver, amely széleskörű helyi adminisztrátori hozzáféréssel és elavult hitelesítő adatokkal rendelkezik. A biztonságos távoli asztalok egy olyan gazdagéppel kezdődnek, amely már védhető, mielőtt bármilyen távoli munkamenet elkezdődne.

Hálózati kitettség kockázata

A hálózati kitettség kockázata a hozzáférhetőségről szól. Ha egy bejelentkezési felület közvetlenül elérhető az internetről, a gép ki van téve a szkennelésnek, a jelszó kitalálásának és a kihasználási kísérleteknek. Ha ugyanaz a gazdagép csak VPN-en, RD Gateway-en vagy szigorúan kezelt hozzáférési rétegen keresztül érhető el, a kockázat lényegesen megváltozik. A Microsoft kifejezetten az RD Gateway-t helyezi el úgy, mint egy módot az HTTPS-en keresztüli titkosított hozzáférés biztosítására anélkül, hogy megnyitná a belső RDP portokat.

Fiók kockázat

A fiók kockázata az identitás minőségéről és a jogosultságokról szól. Egy biztonságos hoszt gyorsan sebezhetővé válik, ha a távoli bejelentkezések újrahasznált jelszavakra, inaktív adminisztrátori fiókokra vagy széleskörű jogosultságokra támaszkodnak. A Microsoft RDS tervezési útmutatója továbbra is az MFA-t tekinti a biztonságos távoli hozzáférés alapvető ellenőrzésének, különösen akkor, ha a hozzáférést RD Gateway-en keresztül közvetítik.

Miért változik a válasz egy otthoni PC, irodai munkaállomás, szerver vagy farm és nagyobb infrastruktúra esetén?

Otthoni számítógépek

A házi PC általában kisebb robbanási sugárral rendelkezik, mint egy termelési szerver, de gyakran kevésbé szigorúan kezelik. A fogyasztói routerek, a laza porttovábbítás, a gyenge helyi jelszavak és az következetlen frissítések meglepően sebezhetővé tehetik a házi rendszert. A fő kockázat gyakran a rossz konfiguráció, nem pedig a szándékos vállalati tervezés.

Irodai munkaállomások

Egy irodai munkaállomás általában egy kezelt hálózaton belül helyezkedik el, de ez nem szünteti meg a kockázatot. Ha egy kompromittált felhasználói fiók távolról elérheti a munkaállomást, a munkaállomás forgóponttá válhat a laterális mozgás, az adatlopás vagy a jogosultságok emelése szempontjából. A gyakorlatban az irodai végpontoknak szükségük van mind a végponti higiéniára, mind pedig egyértelmű távoli hozzáférési politikára.

Windows szerverek

A Windows szerver a legnagyobb következményekkel jár. A fájlszerverhez, alkalmazásszerverhez vagy Remote Desktop Session Hosthoz való távoli hozzáférés azt jelenti, hogy a támadó közelebb kerül a kritikus adatokhoz, megosztott szolgáltatásokhoz és adminisztratív eszközökhöz. Ezért a biztonságos RD szervereknek szigorúbb azonosítási ellenőrzésekre, szűkebb kitettségre és aktív védelmi intézkedésekre van szükségük a bejelentkezési felületen.

Farms és nagyobb infrastruktúrák

Egy farm vagy nagyobb távoli hozzáférési infrastruktúrában a kockázat már nem csupán egy géphez kötődik. Egyetlen gyenge munkaállomás, egy kiemelt szerver vagy egy túlzott jogosultságú adminisztrátori fiók hatással lehet egy egész környezetre, amely magában foglalja a közzétett alkalmazásokat, a Remote Desktop szervereket, a webportálokat, a gateway-eket és a támogató menedzsment rendszereket. Az ISV-k, MSP-k és vállalati IT csapatok számára a valódi kihívás az konzisztencia számos végponton és hozzáférési úton .

Ez a biztonsági kérdést kétféleképpen változtatja meg.

Megosztott kitettség

Először az adminisztrátoroknak a megosztott kitettség szempontjából kell gondolkodniuk, nem pedig elszigetelt hosztokban.

Skálázható vezérlők

Másodszor, szükségük van olyan vezérlőkre, amelyek skálázhatók vegyes környezetekben, beleértve a felhasználói munkaállomásokat, a biztonságos RD szervereket és az internet felé néző rendszereket.

Ebben a kontextusban a távoli kapcsolatok védelme a politika standardizálását, a támadási felület csökkentését jelenti az egész ingatlanon, valamint a hitelesítés és a munkamenet viselkedésének központi figyelését, nem pedig gépről gépre.

Endpoint kockázat: Készen áll a gazda a Remote Access-re?

Mielőtt megvédené a távoli kapcsolatokat, ellenőrizze, hogy a gazdagép egyáltalán megérdemli-e a nyilvánosságot. Kezdje a javítási ütemezéssel, az endpoint védelemmel, a helyi adminisztrátori jogosultságokkal és a mentett hitelesítő adatok higiéniájával. Az NLA segít csökkenteni az azonosítatlan munkamenetek létrehozását, de nem kompenzálja a rosszul karbantartott gépet. A Microsoft továbbra is ajánlja az NLA-t, mert a felhasználók hitelesítik magukat. mielőtt egy munkamenet létrejön , amely csökkenti a jogosulatlan hozzáférés kockázatát és korlátozza az erőforrások elkötelezettségét az azonosított felhasználókra.

A gyors végpont-áttekintéshez ellenőrizze ezeket a tételeket:

  1. Teljesen frissített és támogatott az operációs rendszer?
  2. Csak a szükséges felhasználók vannak a Távoli asztali felhasználók csoportban?
  3. Helyi adminisztrátori jogok korlátozottak?
  4. Aktív és figyelt az endpoint védelem?
  5. A gyorsítótárazott hitelesítő adatok, mentett munkamenetek és inaktív fiókok rendszeresen felülvizsgálatra kerülnek?

Ez az a hely, ahol a TSplus Advanced Security jól illeszkedik, mint egy felfelé irányuló megerősítési réteg. Az Advanced Security szoftverünk egy szerszámosláda az alkalmazás szerverek és a Remote Desktop védelmére. Rendszeresen frissített dokumentációnkból érdemes kiemelni néhány legfontosabb funkciót, nevezetesen a Bruteforce Protection, a Geographic Protection és a Ransomware Protection funkciókat, az alap konfigurációs folyamatból.

Hálózati Kitettség Kockázata: Elérhetik-e a Támadók a Bejelentkezési Felületet?

Közvetlen hozzáférés az interneten keresztül

A közvetlen RDP-expozíció továbbra is a legveszélyesebb gyakori minta. Ha a TCP 3389 elérhető a nyilvános internetről, a gép felfedezhetővé válik a szkennelők és a brute-force forgalom számára. A CISA többször is arra figyelmezteti a szervezeteket, hogy tiltsák le az üzleti használathoz nem szükséges portokat és protokollokat, kifejezetten megnevezve az RDP 3389 portot több zsarolóprogrammal és fenyegetéssel kapcsolatos figyelmeztetésében.

VPN, RD Gateway vagy vezérelt hozzáférési útvonal

Egy ellenőrzött hozzáférési útvonal biztonságosabb, mert szűkíti a nyitott bejáratot. A Microsoft jelenlegi RDS áttekintés állítja, hogy az RD Gateway biztonságos, titkosított RDP-hozzáférést biztosít HTTPS-en keresztül külső hálózatokból anélkül, hogy megnyitná a belső RDP-portokat, és támogatja a MFA-t és a feltételes politikákat. Ez egy sokkal erősebb modell, mint az RDP közvetlenül történő kihelyezése.

Hol illeszkedik a TSplus Advanced Security?

A TSplus Advanced Security a legjobban akkor hasznos, ha nagyobb kontrollra van szüksége a Windows távoli hozzáférésének kitettsége felett. A hackerek blokkolásától kezdve a Remote Desktop és alkalmazás szerverek védelméig, az engedélyezett országok korlátozásától a rosszindulatú IP-k feketelistázásáig, vagy a bruteforce viselkedés automatikus kezeléséig az Advanced Security 360°-os védelmi terjedelmet kínál. Például online dokumentációnk kifejezetten leírja a Földrajzi Védelmet, amely az Advanced Security beépített tűzfalával működik. Eközben a Bruteforce Protection automatikusan feketelistázza a hibás IP-címeket a többszöri sikertelen próbálkozás után.

Szüksége van erősebb ellenőrzésre az expozícióval rendelkező távoli hozzáférés felett, de szeretné elkerülni a vállalati bonyolultságok felhalmozását? Üdvözöljük, hogy elkezdheti ingyenes TSplus Advanced Security próbaverzióját, és felfedezheti, mit tud azonnal, valamint a következő 15 napban.

Fiók Kockázat: Ki Tud Bejelentkezni, és Milyen Jogosultsággal?

Hitelesítő adatok

A gyenge hitelesítő adatok továbbra is az egyik leggyorsabb módja annak, hogy elveszítsük az irányítást egy távolról elérhető gép felett. A jelszóval történő hozzáférés, a megosztott adminisztrátori fiókok és a régi szolgáltatási hitelesítő adatok mind egy kezelhető beállítást vonzó célponttá alakítanak. Még ha a szállítás titkosítva is van, a gyenge identitáskezelés aláássa az egész tervezést.

Többfaktoros hitelesítés

Az MFA az egyik legvilágosabb módja a kockázat csökkentésének. A Microsoft RDS tervezési útmutatása továbbra is az MFA-ra összpontosít a biztonságos távoli asztali munkafolyamatokban, és a TSplus 2FA kifejezetten arra lett tervezve, hogy legalább egy második tényezőt adjon a bejövő távoli hozzáféréshez.

Legkisebb jogosultság

A legkisebb jogosultságok éppolyan fontosak. A biztonságos RD szervereken a távoli bejelentkezési jogokat névre szóló csoportokra kell korlátozni, az adminisztrátori munkameneteket el kell különíteni a rutin felhasználói hozzáférésektől, és a tétlen fiókokat le kell tiltani. Ha nem tudja pontosan, ki tud távolról bejelentkezni, a környezet már gyengébb, mint amilyennek látszik.

Eszköz-felhasználó zárolása

A nyugalom érdekében egy extra védelmi réteget biztosítottunk Megbízható Eszközök formájában. Ez a végponti biztonsági funkció egy felhasználónevet a szokásos eszközéhez köt, így gyorsabb reagálást tesz lehetővé, ha az elveszik vagy ellopják.

Ötperces önellenőrzés rendszergazdák számára

Futtassa ezt a gyors ellenőrzést, mielőtt feltételezné, hogy egy gép biztonságos a Remote Desktop számára:

  1. Elérhető a 3389-es port a nyilvános interneten?
  2. A célhoston engedélyezve van az NLA?
  3. A távoli hozzáférés VPN-en, RD Gateway-en vagy más ellenőrzött úton közvetített?
  4. Kötelező a MFA távoli bejelentkezésekhez?
  5. A távoli bejelentkezési jogok korlátozva vannak a legkisebb szükséges csoportra?
  6. A TSplus Advanced Security vagy annak megfelelő védelme? brute-force blokkolás és ellenséges IP tevékenység?
  7. A gazda javítva van, figyelemmel kísérve van, és mentes a régi jogosultságú fiókoktól?

Ha az első kérdésre a válasz igen, a következő háromra pedig nem, akkor a gépet magas kockázatúnak kell tekinteni.

Mit kell először javítani

A rendszeradminisztrátorok általában a legnagyobb kockázatcsökkentést a sorrendből, nem a mennyiségből nyerik. Először javítsa a vezérlők sorrendjét.

Kezdje a közvetlen nyilvános expozíció eltávolításával, ahol csak lehetséges. Ezután szorosabbá kell tenni az azonosítást MFA-val és kisebb bejelentkezési területekkel. Ezt követően erősítse meg a gazdagépet, és adjon hozzá aktív védelmi intézkedéseket a távoli hozzáférési felület köré.

Sok KKV és középvállalati környezetben itt válik a TSplus Advanced Security gyakorlati és elengedhetetlen megoldássá. A termék Windows távoli hozzáférés és alkalmazásszerverek számára készült, és a kapcsolódó TSplus cikkünkről a biztonságos távoli webhelykapcsolat kibővíti ezt, és megfejti, miért az Advanced Security a fő védelmi réteg a biztonságos távoli hozzáférési környezetek számára.

Következtetés: A távoli asztali biztonság felfelé kezdődik

A számítógép biztonsága a távoli asztaltól kevésbé függ magától a távoli asztaltól, mint a körülötte lévő ellenőrzésektől. Az eszköz állapota dönti el, hogy a gép védhető-e. A hálózati kitettség dönti el, hogy a támadók elérhetik-e a bejelentkezési felületet. A fiókellenőrzés dönti el, hogy egy érvényes bejelentkezés komoly incidenssé válik-e.

Ilyen a gyakorlati válasz a rendszeradminisztrációra. Ha jól szeretné védeni a távoli kapcsolatokat, ne a munkamenettel kezdje. Kezdje a gazdagépnél, a kitettségi útnál és az azonosítási rétegnél. Miután ez megtörtént, érvényesítse ezeket a döntéseket olyan eszközökkel, mint a TSplus Advanced Security és a MFA-alapú hozzáférés.

Kezdje el ma a mindenre kiterjedő IT szerverbiztonság egyszerűen .

Megosztás:

Facebook Twitter LinkedIn

Az Ön TSplus csapata

További olvasmányok

back to top of the page icon