)
)
リモートデスクトップはなぜ強力なセキュリティを必要とするのか?
リモートデスクトップは自動的に安全ではありませんが、あらゆるリモート接続モードと同様に、それを取り巻くシステムよりも安全であることは決してありません。システム管理者にとって、正しい質問はリモートデスクトップが抽象的に安全かどうかではありません。正しい質問は、エンドポイント、ネットワークの露出経路、およびアカウント管理がそれをサポートするのに十分強力であるかどうかです。
その枠組みは重要です。なぜなら、マイクロソフトの現在のガイダンスは、直接的な公開露出ではなく、ネットワークレベル認証(NLA)、RDゲートウェイ、TLS証明書、MFAを中心に安全なリモートデスクトップを構築しているからです。それに従って、 CISA そして、同様のガイダンスは一貫して組織に未使用のRDPアクセスを無効にし、リスクの高いサービスを制限し、MFAを強制するよう促しています。なぜなら、露出したリモートアクセスは一般的な侵入経路であるからです。それでも、私たちはまだやるべきことがあると考えています。
リモートデスクトップリスクを判断するための最初の3つのチェックは何ですか?
エンドポイントリスク
エンドポイントリスクは、マシン自体の状態です。最新のエンドポイント保護が施された完全にパッチが適用されたWindowsワークステーションは、広範なローカル管理者アクセスと古い資格情報を持つ老朽化したサーバーと比較して、非常に異なる状況にあります。安全なリモートデスクトップは、リモートセッションが始まる前にすでに防御可能なホストから始まります。
ネットワーク露出リスク
ネットワーク露出リスクは到達可能性に関するものです。ログインサーフェスがインターネットから直接到達可能であれば、マシンはスキャン、パスワード推測、エクスプロイト試行にさらされます。同じホストがVPN、RD Gateway、または厳密に管理されたアクセスレイヤーを通じてのみアクセス可能であれば、リスクは大きく変わります。Microsoftは、内部RDPポートを開放することなく、HTTPS経由で暗号化されたアクセスを提供する方法としてRD Gatewayを明示的に位置付けています。
アカウントリスク
アカウントリスクは、アイデンティティの質と特権に関するものです。リモートログオンが再利用されたパスワード、休眠中の管理者アカウント、または広範な権限に依存する場合、安全なホストは迅速に不安全になります。MicrosoftのRDS計画ガイダンスは、特にアクセスがRD Gatewayを通じて仲介される場合、安全なリモートアクセスのためのコアコントロールとしてMFAを扱い続けています。
なぜ家庭用PC、オフィスワークステーション、サーバーやファーム、そして大規模インフラストラクチャに対する回答が変わるのか?
ホームPC
家庭用PCは通常、プロダクションサーバーよりも小さな爆風半径を持っていますが、しばしば管理が厳格ではありません。消費者向けルーター、カジュアルなポートフォワーディング、弱いローカルパスワード、不一致なパッチ適用により、家庭用システムは驚くほど脆弱になる可能性があります。主なリスクは、意図的な企業設計ではなく、しばしば不適切な構成です。
オフィスワークステーション
オフィスのワークステーションは通常、管理されたネットワーク内にありますが、それでもリスクは残ります。もし侵害されたユーザーアカウントがワークステーションにリモートでアクセスできる場合、ワークステーションは横の移動、データ盗難、または特権昇格のためのピボットポイントになる可能性があります。実際には、オフィスのエンドポイントにはエンドポイントの衛生と明確なリモートアクセスポリシーの両方が必要です。
Windowsサーバー
Windowsサーバーは最も重大な影響を持ちます。ファイルサーバー、アプリケーションサーバー、またはリモートデスクトップセッションホストへのリモートアクセスは、攻撃者が重要なデータ、共有サービス、および管理ツールに近づくことを意味します。だからこそ、安全なRDサーバーには、より厳格なアイデンティティ管理、狭い露出、およびログイン面での積極的な防御管理が必要です。
農場および大規模インフラストラクチャ
農場やそれ以上のリモートアクセスインフラストラクチャでは、リスクはもはや1台のマシンにのみ関連付けられていません。1台の弱いワークステーション、露出したサーバー、または過剰に権限を与えられた管理者アカウントが、公開されたアプリケーション、リモートデスクトップサーバー、ウェブポータル、ゲートウェイ、そしてサポート管理システムを含む全体の環境に影響を与える可能性があります。ISV、MSP、企業のITチームにとって、真の課題はです。 多くのエンドポイントとアクセスパスにわたる一貫性 .
これはセキュリティ質問を2つの方法で変更します。
共有露出
まず、管理者は孤立したホストではなく、共有された露出の観点から考える必要があります。
スケーラブルなコントロール
次に、ユーザーのワークステーション、セキュアなRDサーバー、インターネットに接続されたシステムを含む混合環境全体にスケールするコントロールが必要です。
その文脈において、リモート接続を保護することは、ポリシーを標準化し、全体の攻撃面を削減し、ホストごとではなく中央で認証とセッションの動作を監視することを意味します。
エンドポイントリスク:ホストはリモートアクセスの準備ができていますか?
リモート接続を保護する前に、ホストが公開される価値があるかどうかを確認してください。パッチ適用の頻度、エンドポイント保護、ローカル管理者の範囲、保存された資格情報の衛生状態から始めます。NLAは認証されていないセッションのセットアップを減らすのに役立ちますが、適切に管理されていないマシンを補うものではありません。Microsoftは依然としてNLAを推奨しています。なぜなら、ユーザーが認証するからです。 セッションが確立される前に 不正アクセスのリスクを軽減し、認証されたユーザーへのリソースのコミットメントを制限します。
迅速なエンドポイントレビューのために、これらの項目を確認してください。
- OSは完全にパッチが適用され、サポートされていますか?
- リモートデスクトップユーザーグループには、必要なユーザーのみが含まれていますか?
- ローカル管理者権限は制限されていますか?
- エンドポイント保護は有効で監視されていますか?
- キャッシュされた資格情報、保存されたセッション、および休眠アカウントは定期的にレビューされていますか?
これは、TSplus Advanced Securityが上流の強化層として適している場所でもあります。私たちのAdvanced Securityソフトウェアは、アプリケーションサーバーとRemote Desktopを保護するためのツールボックスです。定期的に更新されるドキュメントから、初期設定フローにおいて特に重要な機能、すなわちBruteforce Protection、Geographic Protection、Ransomware Protectionを強調する価値があります。
ネットワーク露出リスク:攻撃者はログイン面に到達できますか?
インターネット上での直接露出
直接RDPの露出は、最も危険な一般的なパターンのままです。TCP 3389が公共のインターネットから到達可能であれば、そのマシンはスキャナーやブルートフォーストラフィックに発見されることになります。CISAは、ビジネス用途に必要のないポートやプロトコルを無効にするよう組織に繰り返し助言しており、複数のランサムウェアや脅威に関するアドバイザリーでRDPポート3389を明示的に挙げています。
VPN、RDゲートウェイまたは制御されたアクセスパス
制御されたアクセスパスは、露出した玄関を狭めるため、安全性が高くなります。Microsoftの現在の RDSの概要 RD Gatewayは、内部RDPポートを開くことなく、外部ネットワークからHTTPS経由で安全で暗号化されたRDPアクセスを提供し、MFAおよび条件付きポリシーをサポートしています。これは、RDPを直接公開するよりもはるかに強力なモデルです。
TSplus Advanced Securityはどこに適合しますか?
TSplus Advanced Securityは、Windowsリモートアクセスの公開エッジに対する制御を強化する必要があるときに最も役立ちます。ハッカーのブロックからリモートデスクトップやアプリケーションサーバーの保護、許可された国の制限から敵対的なIPのブラックリスト化、自動的にブルートフォース行動に応答することまで、Advanced Securityは360°の保護範囲を持っています。例えば、当社のオンラインドキュメントでは、Advanced Securityの内蔵ファイアウォールと連携した地理的保護について具体的に説明しています。一方、ブルートフォース保護は、繰り返し失敗した後に違反するIPアドレスを自動的にブラックリストに登録します。
より強力な制御が必要で、企業の複雑さを増やしたくないですか?無料のTSplus Advanced Securityトライアルを開始し、即座に何ができるか、さらに次の15日間で何ができるかを発見してください。
アカウントリスク: 誰がログインでき、どのような権限を持っているか?
資格情報
弱い認証情報は、リモートアクセス可能なマシンの制御を失う最も早い方法の一つです。パスワードのみのアクセス、共有された管理者アカウント、古いサービス認証情報は、管理可能なセットアップを魅力的なターゲットに変えます。輸送が暗号化されていても、適切でないアイデンティティ管理は全体の設計を損ないます。
多要素認証
MFAは、そのリスクを軽減する最も明確な方法の一つです。MicrosoftのRDS計画ガイダンスは、セキュアなリモートデスクトップワークフローにおいてMFAを中心に据え続けており、TSplus 2FAは、少なくとも2つ目の要素を受信するリモートアクセスに追加するために特別に設計されています。
最小特権
最小特権も同様に重要です。安全なRDサーバーでは、リモートログイン権限は特定のグループに制限されるべきであり、管理者セッションは通常のユーザーアクセスから分離されるべきであり、休眠アカウントは無効にされるべきです。誰がリモートでログインできるか正確にわからない場合、その環境は見た目よりもすでに脆弱です。
デバイスユーザーロック
安心のために、信頼できるデバイスの形で追加の保護層を提供しました。このエンドポイントセキュリティ機能は、ユーザー名をその習慣的なデバイスにロックし、紛失または盗難に遭った場合の迅速な対応を可能にします。
システム管理者のための5分間の自己チェック
このマシンがRemote Desktopに安全であると仮定する前に、この簡単なチェックを実行してください。
- ポート3389は公共インターネットから到達可能ですか?
- ターゲットホストでNLAは有効ですか?
- リモートアクセスはVPN、RDゲートウェイ、または他の制御された経路を通じて仲介されていますか?
- リモートログインにMFAは強制されていますか?
- リモートログイン権限は、最小限の必要なグループに制限されていますか?
- TSplus Advanced Security または同等の保護ですか ブルートフォースのブロック 敵対的なIP活動はどうですか?
- ホストはパッチが適用され、監視されており、古い特権アカウントがないですか?
最初の質問の答えが「はい」で、次の3つが「いいえ」の場合、機械を高リスクと見なします。
最初に修正するべきこと
システム管理者は通常、ボリュームではなくシーケンスから最大のリスク削減を得ます。まず、コントロールの順序を修正してください。
直接的な公開露出を可能な限り取り除くことから始めます。その後、MFAとより小さなログインスコープでアイデンティティを強化します。その後、ホストを強化し、リモートアクセスの表面周辺にアクティブな防御コントロールを追加します。
多くの中小企業および中堅市場の環境において、そこがTSplus Advanced Securityが実用的かつ不可欠になる場所です。この製品はWindowsのリモートアクセスおよびアプリケーションサーバー向けに開発されており、関連するTSplusの記事については 安全なリモートサイト接続 この内容を詳しく説明し、なぜAdvanced Securityが安全なリモートアクセス環境の主要な保護層であるのかを解明します。
結論:リモートデスクトップセキュリティは上流から始まります
リモートデスクトップからコンピュータがどれだけ安全かは、リモートデスクトップ単体よりも、その周囲のチェックに依存しています。エンドポイントの姿勢が、マシンが防御可能かどうかを決定します。ネットワークの露出が、攻撃者がログイン画面に到達できるかどうかを決定します。アカウント管理が、有効なログインが重大なインシデントになるかどうかを決定します。
システム管理に対する実践的な答えです。リモート接続を適切に保護したい場合は、セッションから始めてはいけません。ホスト、露出経路、アイデンティティレイヤーから上流で始めてください。それが完了したら、TSplus Advanced SecurityやMFA対応のアクセスなどのツールを使用して、その決定を強制してください。
今日から始めましょう シンプルに実現する全方位ITサーバーセキュリティ .
)
)
)
