Memahami Gerbang Desktop Jauh
Gateway Desktop Jauh (RDG) membolehkan sambungan selamat ke sumber rangkaian dalaman melalui
Protokol Desktop Jauh (RDP)
dengan mengenkripsi sambungan melalui HTTPS. Tidak seperti sambungan RDP langsung, yang sering terdedah kepada serangan siber, RDG bertindak sebagai terowong selamat untuk sambungan ini, mengenkripsi trafik melalui SSL/TLS.
Namun, mengamankan RDG melibatkan lebih daripada sekadar mengaktifkannya. Tanpa langkah-langkah keselamatan tambahan, RDG terdedah kepada pelbagai ancaman, termasuk serangan brute-force, serangan man-in-the-middle (MITM), dan pencurian kelayakan. Mari kita terokai faktor keselamatan utama yang perlu dipertimbangkan oleh profesional IT semasa melaksanakan RDG.
Pertimbangan Keselamatan Utama untuk Gerbang Desktop Jauh
Memperkuat Mekanisme Pengesahan
Pengesahan adalah garis pertahanan pertama dalam mengamankan RDG. Secara lalai, RDG menggunakan pengesahan berasaskan Windows, yang boleh terdedah jika disalah konfigurasi atau jika kata laluan lemah.
Melaksanakan Pengesahan Pelbagai Faktor (MFA)
Pengesahan Pelbagai Faktor (MFA) adalah tambahan penting kepada tetapan RDG. MFA memastikan bahawa, walaupun jika penyerang memperoleh akses kepada kelayakan pengguna, mereka tidak dapat log masuk tanpa faktor pengesahan kedua, biasanya token atau aplikasi telefon pintar.
-
Penyelesaian yang perlu dipertimbangkan: Microsoft Azure MFA dan Cisco Duo adalah pilihan popular yang berintegrasi dengan RDG.
-
Sambungan NPS untuk MFA: Untuk mengukuhkan akses RDP, pentadbir boleh menggunakan Sambungan Pelayan Dasar Rangkaian (NPS) untuk Azure MFA, yang menguatkuasakan MFA untuk log masuk RDG, mengurangkan risiko kelayakan yang terjejas.
Menguatkuasakan Dasar Kata Laluan Kuat
Walaupun MFA, dasar kata laluan yang kuat tetap penting. Pentadbir IT harus mengkonfigurasi dasar kumpulan untuk menguatkuasakan kompleksiti kata laluan, kemas kini kata laluan secara berkala, dan dasar penguncian selepas beberapa percubaan log masuk yang gagal.
Amalan Terbaik untuk Pengesahan:
-
Tegakkan penggunaan kata laluan yang kuat di semua akaun pengguna.
-
Konfigurasikan RDG untuk mengunci akaun selepas beberapa percubaan log masuk yang gagal.
-
Gunakan MFA untuk semua pengguna RDG untuk menambah lapisan keselamatan tambahan.
Meningkatkan Kawalan Akses dengan Dasar CAP dan RAP
RDG menggunakan Dasar Kebenaran Sambungan (CAP) dan Dasar Kebenaran Sumber (RAP) untuk menentukan siapa yang boleh mengakses sumber tertentu. Walau bagaimanapun, jika dasar-dasar ini tidak dikonfigurasi dengan teliti, pengguna mungkin mendapat akses yang lebih daripada yang diperlukan, yang meningkatkan risiko keselamatan.
Memperketat Dasar CAP
Kebijakan CAP menentukan syarat di mana pengguna dibenarkan untuk menyambung ke RDG. Secara lalai, CAP mungkin membenarkan akses dari mana-mana peranti, yang boleh menjadi risiko keselamatan, terutamanya bagi pekerja mudah alih atau jarak jauh.
-
Hadkan akses kepada julat IP tertentu yang diketahui untuk memastikan hanya peranti yang dipercayai boleh memulakan sambungan.
-
Laksanakan dasar berasaskan peranti yang memerlukan klien untuk lulus pemeriksaan kesihatan tertentu (seperti antivirus dan tetapan firewall yang terkini) sebelum menubuhkan sambungan RDG.
Memperhalus Dasar RAP
Dasar RAP menentukan sumber mana yang boleh diakses oleh pengguna setelah mereka disambungkan. Secara lalai, tetapan RAP boleh terlalu membenarkan, membenarkan pengguna akses luas kepada sumber dalaman.
-
Konfigurasikan dasar RAP untuk memastikan bahawa pengguna hanya dapat mengakses sumber yang mereka perlukan, seperti pelayan atau aplikasi tertentu.
-
Gunakan sekatan berasaskan kumpulan untuk mengehadkan akses berdasarkan peranan pengguna, mencegah pergerakan lateral yang tidak perlu di seluruh rangkaian.
Memastikan Penyulitan Kuat Melalui Sijil SSL/TLS
RDG mengenkripsi semua sambungan menggunakan protokol SSL/TLS melalui port 443. Walau bagaimanapun, sijil yang dikonfigurasi dengan tidak betul atau tetapan penyulitan yang lemah boleh menjadikan sambungan terdedah kepada serangan man-in-the-middle (MITM).
Melaksanakan Sijil SSL Terpercaya
Sentiasa gunakan sijil daripada Pihak Berkuasa Sijil (CA) yang dipercayai daripada
sertifikat yang ditandatangani sendiri
Sijil yang ditandatangani sendiri, walaupun cepat untuk dilaksanakan, mendedahkan rangkaian anda kepada serangan MITM kerana ia tidak dipercayai secara semula jadi oleh pelayar atau klien.
-
Gunakan sijil dari CA yang dipercayai seperti DigiCert, GlobalSign, atau Let’s Encrypt.
-
Pastikan bahawa TLS 1.2 atau lebih tinggi dikuatkuasakan, kerana versi yang lebih lama (seperti TLS 1.0 atau 1.1) mempunyai kelemahan yang diketahui.
Amalan Terbaik untuk Penyulitan:
-
Matikan algoritma penyulitan yang lemah dan kuatkuasakan TLS 1.2 atau 1.3.
-
Sentiasa semak dan kemas kini sijil SSL sebelum ia tamat tempoh untuk mengelakkan sambungan yang tidak dipercayai.
Memantau Aktiviti RDG dan Mencatat Peristiwa
Pasukan keselamatan harus secara aktif memantau RDG untuk aktiviti mencurigakan, seperti percubaan log masuk yang gagal berulang kali atau sambungan dari alamat IP yang tidak biasa. Pencatatan acara membolehkan pentadbir mengesan tanda awal pelanggaran keselamatan yang berpotensi.
Mengkonfigurasi Log RDG untuk Pemantauan Keselamatan
RDG merekodkan acara penting seperti percubaan sambungan yang berjaya dan gagal. Dengan menyemak log ini, pentadbir dapat mengenal pasti corak yang tidak normal yang mungkin menunjukkan serangan siber.
-
Gunakan alat seperti Windows Event Viewer untuk mengaudit log sambungan RDG secara berkala.
-
Laksanakan alat Pengurusan Maklumat dan Peristiwa Keselamatan (SIEM) untuk mengumpul log dari pelbagai sumber dan mencetuskan amaran berdasarkan ambang yang telah ditetapkan.
Menjaga Sistem RDG Terkini dan Diperbaiki
Seperti mana-mana perisian pelayan, RDG boleh terdedah kepada eksploitasi yang baru ditemui jika ia tidak dikemas kini. Pengurusan tampalan adalah penting untuk memastikan bahawa kerentanan yang diketahui ditangani secepat mungkin.
Mengautomatikkan Kemas Kini RDG
Banyak kelemahan yang dieksploitasi oleh penyerang adalah hasil daripada perisian yang ketinggalan zaman. Jabatan IT harus melanggan buletin keselamatan Microsoft dan melaksanakan tampalan secara automatik jika boleh.
-
Gunakan Perkhidmatan Kemas Kini Windows Server (WSUS) untuk mengautomasikan penyebaran tampalan keselamatan untuk RDG.
-
Uji tampalan dalam persekitaran bukan pengeluaran sebelum penyebaran untuk memastikan keserasian dan kestabilan.
RDG vs. VPN: Pendekatan Berlapis untuk Keselamatan
Perbezaan Antara RDG dan VPN
Remote Desktop Gateway (RDG) dan Virtual Private Networks (VPNs) adalah dua teknologi yang biasa digunakan untuk akses jauh yang selamat. Walau bagaimanapun, mereka beroperasi dengan cara yang berbeza secara asas.
-
RDG menyediakan kawalan terperinci ke atas akses pengguna tertentu kepada sumber dalaman individu (seperti aplikasi atau pelayan). Ini menjadikan RDG ideal untuk situasi di mana akses terkawal diperlukan, seperti membenarkan pengguna luar untuk menyambung ke perkhidmatan dalaman tertentu tanpa memberikan akses rangkaian yang luas.
-
VPN, sebaliknya, mencipta terowong yang dienkripsi untuk pengguna mengakses seluruh rangkaian, yang kadangkala boleh mendedahkan sistem yang tidak perlu kepada pengguna jika tidak dikawal dengan teliti.
Menggabungkan RDG dan VPN untuk Keselamatan Maksimum
Dalam persekitaran yang sangat selamat, beberapa organisasi mungkin memilih untuk menggabungkan RDG dengan VPN untuk memastikan pelbagai lapisan penyulitan dan pengesahan.
-
Penyulitan berganda: Dengan menyalurkan RDG melalui VPN, semua data disulitkan dua kali, memberikan perlindungan tambahan terhadap potensi kerentanan dalam mana-mana protokol.
-
Anonymiti yang dipertingkatkan: VPN menyembunyikan alamat IP pengguna, menambah lapisan tambahan anonymiti kepada sambungan RDG.
Namun, walaupun pendekatan ini meningkatkan keselamatan, ia juga memperkenalkan lebih banyak kerumitan dalam mengurus dan menyelesaikan isu sambungan. Pasukan IT perlu menyeimbangkan keselamatan dengan kebolehgunaan dengan teliti apabila memutuskan sama ada untuk melaksanakan kedua-dua teknologi bersama.
Beralih dari RDG ke Penyelesaian Lanjutan
Walaupun RDG dan VPN boleh berfungsi secara serentak, jabatan IT mungkin mencari penyelesaian akses jauh yang lebih maju dan bersatu untuk memudahkan pengurusan dan meningkatkan keselamatan tanpa kerumitan mengurus pelbagai lapisan teknologi.
Bagaimana TSplus Boleh Membantu
Bagi organisasi yang mencari penyelesaian akses jauh yang dipermudahkan tetapi selamat,
TSplus Remote Access
adalah platform serba ada yang direka untuk mengamankan dan mengurus sesi jauh dengan cekap. Dengan ciri-ciri seperti pengesahan pelbagai faktor terbina dalam, penyulitan sesi, dan kawalan akses pengguna yang terperinci, TSplus Remote Access memudahkan pengurusan akses jauh yang selamat sambil memastikan pematuhan dengan amalan terbaik industri. Ketahui lebih lanjut tentang
TSplus Remote Access
untuk meningkatkan kedudukan keselamatan jarak jauh organisasi anda hari ini.
Kesimpulan
Secara ringkas, Remote Desktop Gateway menawarkan cara yang selamat untuk mengakses sumber dalaman, tetapi keselamatannya sangat bergantung pada konfigurasi yang betul dan pengurusan yang berkala. Dengan memberi tumpuan kepada kaedah pengesahan yang kuat, kawalan akses yang ketat, penyulitan yang kukuh, dan pemantauan yang aktif, pentadbir IT dapat meminimumkan risiko yang berkaitan dengan
Akses jauh
.
Ujian Percubaan Percuma Akses Jauh TSplus
Pilihan alternatif Citrix/RDS Ultimate untuk akses desktop/aplikasi. Selamat, berkesan dari segi kos, di premis/awan.