)
)
원격 데스크톱은 왜 강력한 보안이 필요한가?
원격 데스크톱은 자동으로 안전하지 않지만, 모든 원격 연결 모드와 마찬가지로 주변 시스템보다 결코 더 안전하지 않습니다. 시스템 관리자를 위해 올바른 질문은 원격 데스크톱이 추상적으로 안전한지 여부가 아닙니다. 올바른 질문은 엔드포인트, 네트워크 노출 경로 및 계정 제어가 이를 지원하기에 충분히 강력한지 여부입니다.
그 프레임이 중요합니다. 왜냐하면 Microsoft의 현재 지침은 여전히 안전한 Remote Desktop을 네트워크 수준 인증(NLA), RD Gateway, TLS 인증서 및 MFA를 중심으로 하고 있으며, 직접적인 공개 노출보다는 이러한 요소들에 초점을 맞추고 있기 때문입니다. 이를 고려하여, CISA 유사한 지침은 조직이 사용하지 않는 RDP 액세스를 비활성화하고 위험한 서비스를 제한하며 MFA를 시행하도록 지속적으로 촉구합니다. 노출된 원격 액세스는 여전히 일반적인 침입 경로로 남아 있습니다. 그럼에도 불구하고 우리는 더 많은 작업이 필요하다고 생각합니다.
원격 데스크톱 위험을 결정하는 세 가지 초기 점검은 무엇입니까?
엔드포인트 위험
엔드포인트 위험은 기계 자체의 상태입니다. 최신 엔드포인트 보호가 적용된 완전히 패치된 Windows 워크스테이션은 제한된 관리자 권한과 제어된 세션 동작을 가지고 있으며, 넓은 로컬 관리자 접근 권한과 오래된 자격 증명을 가진 노후화된 서버와는 매우 다른 위치에 있습니다. 안전한 원격 데스크톱은 원격 세션이 시작되기 전에 이미 방어 가능한 호스트로 시작됩니다.
네트워크 노출 위험
네트워크 노출 위험은 접근 가능성에 관한 것입니다. 로그인 표면이 인터넷에서 직접 접근 가능하다면, 해당 기계는 스캐닝, 비밀번호 추측 및 악용 시도의 위험에 노출됩니다. 동일한 호스트가 VPN, RD Gateway 또는 엄격하게 관리되는 접근 계층을 통해서만 접근 가능하다면, 위험은 실질적으로 변화합니다. Microsoft는 RD Gateway를 내부 RDP 포트를 열지 않고 HTTPS를 통해 암호화된 접근을 제공하는 방법으로 명시적으로 위치짓고 있습니다.
계정 위험
계정 위험은 신원 품질과 권한에 관한 것입니다. 원격 로그인이 재사용된 비밀번호, 비활성 관리자 계정 또는 광범위한 권한에 의존할 때 안전한 호스트는 빠르게 불안전해집니다. Microsoft의 RDS 계획 지침은 MFA를 안전한 원격 액세스를 위한 핵심 제어로 계속 다루고 있으며, 특히 액세스가 RD Gateway를 통해 중개될 때 그렇습니다.
가정용 PC, 사무실 워크스테이션, 서버 또는 농장 및 대규모 인프라에 대한 답변이 왜 달라지나요?
홈 PC
가정용 PC는 일반적으로 프로덕션 서버보다 폭발 반경이 작지만, 종종 덜 엄격하게 관리됩니다. 소비자 라우터, 임의의 포트 포워딩, 약한 로컬 비밀번호 및 일관되지 않은 패치 적용은 가정용 시스템을 놀랍도록 노출시킬 수 있습니다. 주요 위험은 종종 의도적인 기업 설계보다는 잘못된 구성입니다.
사무용 워크스테이션
사무실 워크스테이션은 일반적으로 관리되는 네트워크 내에 위치하지만, 이는 위험을 제거하지 않습니다. 손상된 사용자 계정이 원격으로 워크스테이션에 접근할 수 있다면, 워크스테이션은 수평 이동, 데이터 도난 또는 권한 상승을 위한 중심점이 될 수 있습니다. 실제로 사무실 엔드포인트는 엔드포인트 위생과 명확한 원격 액세스 정책이 모두 필요합니다.
윈도우 서버
Windows 서버는 가장 높은 결과를 초래합니다. 파일 서버, 애플리케이션 서버 또는 원격 데스크톱 세션 호스트에 대한 원격 액세스는 공격자가 중요한 데이터, 공유 서비스 및 관리 도구에 더 가까워짐을 의미합니다. 그렇기 때문에 안전한 RD 서버는 더 엄격한 신원 관리, 좁은 노출 및 로그인 표면에서의 능동적인 방어 제어가 필요합니다.
농장 및 대규모 인프라
농장이나 더 큰 원격 액세스 인프라에서는 위험이 더 이상 단일 머신에만 국한되지 않습니다. 단일 약한 워크스테이션, 노출된 서버 또는 과도한 권한을 가진 관리자 계정은 게시된 애플리케이션, 원격 데스크톱 서버, 웹 포털, 게이트웨이 및 지원 관리 시스템을 포함하는 전체 환경에 영향을 미칠 수 있습니다. ISV, MSP 및 기업 IT 팀에게 진정한 도전은 여러 엔드포인트 및 접근 경로 간의 일관성 .
이것은 보안 질문을 두 가지 방법으로 변경합니다.
공유 노출
먼저, 관리자는 고립된 호스트가 아닌 공유된 노출 측면에서 생각해야 합니다.
확장 가능한 제어
둘째, 그들은 사용자 워크스테이션, 보안 RD 서버 및 인터넷에 노출된 시스템을 포함한 혼합 환경에서 확장 가능한 제어가 필요합니다.
그 맥락에서 원격 연결을 보호하는 것은 정책을 표준화하고 전체 자산에 걸쳐 공격 표면을 줄이며 호스트별이 아닌 중앙에서 인증 및 세션 행동을 모니터링하는 것을 의미합니다.
엔드포인트 위험: 호스트가 원격 액세스를 준비했습니까?
원격 연결을 보호하기 전에 호스트가 노출될 가치가 있는지 확인하십시오. 패치 주기, 엔드포인트 보호, 로컬 관리자 범위 및 저장된 자격 증명 위생부터 시작하십시오. NLA는 인증되지 않은 세션 설정을 줄이는 데 도움이 되지만, 잘 관리되지 않은 머신에 대한 보완책은 아닙니다. Microsoft는 여전히 사용자가 인증하기 때문에 NLA를 권장합니다. 세션이 설정되기 전에 , 이는 무단 접근 위험을 줄이고 인증된 사용자에게 자원 할당을 제한합니다.
빠른 엔드포인트 검토를 위해, 다음 항목을 확인하세요:
- 운영 체제가 완전히 패치되고 지원됩니까?
- 원격 데스크톱 사용자 그룹에 필요한 사용자만 있습니까?
- 로컬 관리자 권한이 제한되어 있습니까?
- 엔드포인트 보호가 활성화되고 모니터링되고 있습니까?
- 캐시된 자격 증명, 저장된 세션 및 비활성 계정이 정기적으로 검토됩니까?
이곳은 TSplus Advanced Security가 상위 하드닝 계층으로 잘 맞는 곳입니다. 우리의 Advanced Security 소프트웨어는 애플리케이션 서버와 Remote Desktop을 보호하기 위한 도구 상자입니다. 정기적으로 업데이트되는 문서에서 가장 관련성이 높은 몇 가지 기능, 즉 Bruteforce Protection, Geographic Protection 및 Ransomware Protection을 초기 구성 흐름에서 강조할 가치가 있습니다.
네트워크 노출 위험: 공격자가 로그인 표면에 도달할 수 있습니까?
인터넷을 통한 직접 노출
직접 RDP 노출은 여전히 가장 위험한 일반적인 패턴입니다. TCP 3389가 공용 인터넷에서 접근 가능하면, 해당 기계는 스캐너와 무차별 공격 트래픽에 의해 발견될 수 있습니다. CISA는 여러 차례 조직에 비즈니스 사용에 필요하지 않은 포트와 프로토콜을 비활성화할 것을 권고하며, 여러 랜섬웨어 및 위협 권고에서 RDP 포트 3389를 명시적으로 언급하고 있습니다.
VPN, RD 게이트웨이 또는 제어된 접근 경로
제어된 접근 경로는 노출된 정문을 좁히기 때문에 더 안전합니다. Microsoft의 현재 RDS 개요 RD 게이트웨이가 내부 RDP 포트를 열지 않고 외부 네트워크에서 HTTPS를 통해 안전하고 암호화된 RDP 액세스를 제공하며 MFA 및 조건부 정책을 지원한다고 명시합니다. 이는 RDP를 직접 노출하는 것보다 훨씬 강력한 모델입니다.
TSplus Advanced Security는 어디에 적합합니까?
TSplus Advanced Security는 Windows 원격 액세스의 노출된 엣지에 대한 더 많은 제어가 필요할 때 가장 유용합니다. 해커 차단부터 원격 데스크톱 및 애플리케이션 서버 보호, 허용된 국가 제한부터 적대적인 IP 블랙리스트 작성, 또는 무차별 대입 공격에 자동으로 대응하는 것까지, Advanced Security는 360° 보호 범위를 가지고 있습니다. 예를 들어, 우리의 온라인 문서는 Advanced Security의 내장 방화벽과 함께 작동하는 지리적 보호에 대해 구체적으로 설명합니다. 한편, Bruteforce Protection은 반복적인 실패 후에 위반 IP 주소를 자동으로 블랙리스트에 추가합니다.
노출된 원격 액세스에 대한 더 강력한 제어가 필요하지만 기업의 복잡성을 피하고 싶으신가요? 무료 TSplus Advanced Security 체험을 시작하고 즉시 그리고 다음 15일 동안 그것이 무엇을 할 수 있는지 알아보시기 바랍니다.
계정 위험: 누가 로그인할 수 있으며, 어떤 권한으로?
자격 증명
약한 자격 증명은 여전히 원격으로 접근 가능한 기계의 제어를 잃는 가장 빠른 방법 중 하나입니다. 비밀번호만으로 접근하는 경우, 공유된 관리자 계정 및 오래된 서비스 자격 증명은 관리 가능한 설정을 매력적인 표적으로 만듭니다. 전송이 암호화되어 있더라도, 불량한 신원 위생은 전체 설계를 약화시킵니다.
다중 요소 인증
MFA는 그 위험을 줄이는 가장 명확한 방법 중 하나입니다. Microsoft의 RDS 계획 지침은 안전한 원격 데스크톱 워크플로에서 MFA를 중심으로 계속 진행되며, TSplus 2FA는 들어오는 원격 액세스에 최소한 두 번째 요소를 추가하도록 특별히 설계되었습니다.
최소 권한
최소 권한도 마찬가지로 중요합니다. 보안 RD 서버에서는 원격 로그인 권한이 명명된 그룹으로 제한되어야 하며, 관리자 세션은 일반 사용자 접근과 분리되어야 하고, 비활성 계정은 비활성화되어야 합니다. 누가 원격으로 로그인할 수 있는지 정확히 모른다면, 환경은 이미 보이는 것보다 약해진 것입니다.
장치 사용자 잠금
추가적인 안심을 위해, 우리는 신뢰할 수 있는 장치의 형태로 추가적인 보호 계층을 제공했습니다. 이 엔드포인트 보안 기능은 사용자 이름을 그 사용자의 습관적인 장치에 고정시켜, 분실되거나 도난당했을 경우 더 빠른 대응이 가능하게 합니다.
시스템 관리자를 위한 5분 자가 점검
이 기계가 Remote Desktop에 안전하다고 가정하기 전에 이 빠른 검사를 실행하세요:
- 포트 3389가 공용 인터넷에서 접근 가능한가요?
- 대상 호스트에서 NLA가 활성화되어 있습니까?
- 원격 액세스가 VPN, RD 게이트웨이 또는 다른 제어된 경로를 통해 중개됩니까?
- 원격 로그인에 MFA가 적용되나요?
- 원격 로그인 권한이 가장 작은 필요 그룹으로 제한되나요?
- TSplus Advanced Security 또는 동등한 보호가 있습니까? 브루트 포스 차단 적대적인 IP 활동은?
- 호스트가 패치되고 모니터링되며 오래된 권한 계정이 없는지 확인하십시오.
첫 번째 질문에 대한 답이 '예'이고 다음 세 개의 질문에 대한 답이 '아니오'인 경우, 기계를 고위험으로 간주하십시오.
먼저 무엇을 수정해야 할까요
시스템 관리자는 일반적으로 볼륨이 아닌 순서에서 가장 큰 위험 감소를 얻습니다. 먼저 제어의 순서를 수정하십시오.
가능한 한 직접적인 공개 노출을 제거하는 것부터 시작하십시오. 그런 다음 MFA와 더 작은 로그인 범위로 신원을 강화하십시오. 그 후, 호스트를 강화하고 원격 액세스 표면 주위에 능동적인 방어 제어를 추가하십시오.
많은 SMB 및 중견 시장 환경에서 TSplus Advanced Security가 실용적이고 필수적인 이유입니다. 이 제품은 Windows 원격 액세스 및 애플리케이션 서버를 위해 개발되었으며, 관련된 TSplus 기사에 대해 안전한 원격 사이트 연결 이것을 확장하며, 또한 안전한 원격 액세스 환경을 위한 주요 보호 계층으로서 Advanced Security의 이유를 해독합니다.
결론: 원격 데스크톱 보안은 상류에서 시작됩니다
원격 데스크톱으로부터 컴퓨터의 보안은 원격 데스크톱 자체보다는 그 주변의 점검에 더 의존합니다. 엔드포인트 상태는 기계가 방어 가능한지 여부를 결정합니다. 네트워크 노출은 공격자가 로그인 표면에 도달할 수 있는지를 결정합니다. 계정 관리는 유효한 로그인이 주요 사건이 되는지를 결정합니다.
시스템 관리에 대한 실용적인 답변입니다. 원격 연결을 잘 보호하고 싶다면 세션부터 시작하지 마십시오. 호스트, 노출 경로 및 신원 계층에서 시작하십시오. 그 작업이 완료되면 TSplus Advanced Security 및 MFA 기반 액세스와 같은 도구를 사용하여 이러한 결정을 시행하십시오.
오늘 시작하세요. 모든 IT 서버 보안을 간편하게 만들기 .
)
)
)
