Czy chciałbyś zobaczyć stronę w innym języku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmień język
Spis treści
Banner for article "Can Remote Desktop Be Hacked? A Practical Risk Score for Prevention", bearing article title, TSplus Advanced Security logo, website and illustration (metallic ball showing a locked padlock).

Dostęp do pulpitu zdalnego może być zhakowany, ale większość incydentów nie jest hollywoodzkimi exploitami. Większość incydentów to przewidywalne wyniki narażonych usług, wielokrotnego użytku poświadczeń i zbyt szerokiego dostępu. Ten przewodnik daje zespołom IT narzędzie do oceny ryzyka, które ma zastosowanie do RDP, portali HTML5, VDI i narzędzi wsparcia zdalnego, a następnie mapuje wynik na priorytetowe poprawki.

Co oznacza „Hacked” dla narzędzi zdalnego pulpitu?

Zdalny pulpit nie jest jednym produktem. Zdalny pulpit to zestaw ścieżek dostępu, które mogą obejmować Microsoft Remote Desktop Protocol (RDP), usługi zdalnego pulpitu, VDI, takie jak Azure Virtual Desktop, portale przeglądarkowe, które pośredniczą w sesji, oraz narzędzia wsparcia zdalnego, które tworzą połączenia na żądanie.

W raportach incydentów „zdalny pulpit został zhakowany” zazwyczaj oznacza jeden z tych wyników:

  • Przejęcie konta: atakujący loguje się normalnie, używając skradzionych lub odgadniętych danych uwierzytelniających.
  • Nadużycie ścieżki dostępu: ujawniona brama, otwarty port, słaba polityka lub błędna konfiguracja ułatwiają nieautoryzowany dostęp.
  • Uszkodzenia po zalogowaniu: atakujący wykorzystuje legalne możliwości sesji do poruszania się lateralnie, eksfiltracji danych lub wdrażania ransomware.

To rozróżnienie ma znaczenie, ponieważ zapobieganie dotyczy zmniejszenia szansy na udane logowanie i ograniczenia tego, co może zrobić zalogowany użytkownik.

Dlaczego zdalny pulpit jest celem ataków?

Dostęp do pulpitu zdalnego jest atrakcyjny, ponieważ jest interaktywny i z założenia ma wysokie uprawnienia. RDP jest powszechny, szeroko wspierany i często dostępny przez port TCP 3389, co ułatwia skanowanie i celowanie. Vectra podsumowuje podstawowy problem Częstość występowania RDP i poziom dostępu, jaki zapewnia, sprawiają, że jest to częsty cel, gdy nie jest odpowiednio zarządzany.

Cloudflare przedstawia te same czynniki ryzyka z dwoma powtarzającymi się słabościami: słabą autoryzację i nieograniczony dostęp do portów, które łączą się w możliwości ataków typu brute force i stuffing poświadczeń, gdy RDP jest wystawione.

Rzeczywistość średniego rynku zwiększa również ryzyko. Praca hybrydowa, dostęp dostawców, fuzje i rozproszone operacje IT tworzą „rozprzestrzenienie dostępu”. Zdalny dostęp rozwija się szybciej niż polityka i monitorowanie, a napastnicy wolą tę lukę.

Jakie jest ryzyko związane z hackowaniem pulpitu zdalnego (RDRS)?

Wynik ryzyka ataku na zdalny pulpit (RDRS) to szybki model oceny w czasie projektowania. Celem nie jest zastąpienie audytu bezpieczeństwa. Celem jest uszeregowanie czynników ryzyka, aby zespół IT mógł wprowadzić trzy zmiany, które szybko zmniejszą prawdopodobieństwo naruszenia.

Oceń każdą z filarów w skali od 0 do 3. Zsumuj je, aby uzyskać łączną liczbę z 15.

  • 0: silna kontrola, niskie ryzyko praktyczne
  • 1: głównie kontrolowane, drobne luki
  • 2: częściowa kontrola, realistyczna ścieżka ataku istnieje
  • 3: wysokie ryzyko, prawdopodobnie będzie wykorzystywane w czasie

Filary 1: Powierzchnia narażenia

Powierzchnia narażenia dotyczy tego, co atakujący może osiągnąć z zewnątrz. Najwyższe ryzyko stanowi nadal „bezpośrednio dostępne usługi pulpitu zdalnego” z minimalnymi kontrolami na drzwiach frontowych.

Wskazówki dotyczące oceny:

  1. 0: pulpit zdalny nie jest dostępny przez internet; dostęp jest pośredniczony przez kontrolowane ścieżki.
  2. 1: pulpit zdalny jest dostępny tylko przez ograniczone sieci, VPN lub ściśle określone listy dozwolone.
  3. 2: brama lub portal jest skierowany do internetu, ale zasady są niespójne w różnych aplikacjach, grupach lub regionach.
  4. 3: istnieje bezpośrednia ekspozycja (typowe przykłady to otwarte RDP, zapomniane zasady NAT, zbyt liberalne grupy zabezpieczeń w chmurze).

Praktyczna uwaga dotycząca majątków mieszanych:

Powierzchnia narażenia dotyczy bramek RDP, VDI, portali HTML5 i konsol wsparcia zdalnego. Jeśli którakolwiek z nich jest publicznym wejściem, napastnicy ją znajdą.

Filary 2: Powierzchnia tożsamości

Powierzchnia tożsamości to to, jak łatwo jest atakującemu stać się ważnym użytkownikiem. Cloudflare podkreśla ponowne użycie hasła i niezarządzane poświadczenia jako kluczowe czynniki umożliwiające kradzież danych uwierzytelniających i ataki siłowe w scenariuszach zdalnego dostępu.

Wskazówki dotyczące oceny:

  • 0: Wymagana jest MFA, konta uprzywilejowane są oddzielone, a uwierzytelnianie dziedziczne nie jest dozwolone.
  • 1: MFA istnieje, ale nie wszędzie, istnieją wyjątki dla „tylko jednego serwera” lub „tylko jednego dostawcy”.
  • 2: hasła są podstawową kontrolą dla niektórych ścieżek pulpitu zdalnego lub istniejących tożsamości administratora współdzielonego.
  • 3: logowanie zewnętrzne opiera się wyłącznie na hasłach lub lokalne konta są szeroko stosowane na serwerach.

Uwaga praktyczna:

Tożsamość to miejsce, w którym bezpieczeństwo pulpitu zdalnego zazwyczaj zawodzi jako pierwsze. Napastnicy nie potrzebują exploitów, jeśli uwierzytelnienie jest łatwe.

Filary 3: Powierzchnia autoryzacji

Powierzchnia autoryzacji to to, do czego ważny użytkownik ma dostęp i kiedy. Wiele środowisk koncentruje się na tym, kto może się zalogować, ale pomija to, kto może się zalogować do czego, skąd i w jakim oknie czasowym.

Wskazówki dotyczące oceny:

  • 0: dostęp z minimalnymi uprawnieniami jest egzekwowany za pomocą wyraźnych grup dla każdej aplikacji lub pulpitu, a także oddzielnych ścieżek administracyjnych.
  • 1: grupy istnieją, ale dostęp jest szeroki, ponieważ jest to prostsze operacyjnie.
  • 2: użytkownicy mogą uzyskać dostęp do zbyt wielu serwerów lub pulpitów; ograniczenia czasowe i źródłowe są niespójne.
  • 3: każdy uwierzytelniony użytkownik może uzyskać dostęp do systemów podstawowych, lub administratorzy mogą łączyć się RDP z wszędzie z niezarządzanych punktów końcowych.

Uwaga praktyczna:

Autoryzacja jest również filarem, który najlepiej wspiera mieszankę średniego rynku. Gdy Windows, macOS, wykonawcy i dostawcy zewnętrzni wszyscy potrzebują dostępu, szczegółowa autoryzacja jest kontrolą, która zapobiega temu, aby jedno ważne logowanie stało się dostępem na całym terenie.

Filary 4: Powierzchnia sesji i punktów końcowych

Powierzchnia sesji to to, co sesja zdalna może zrobić po jej rozpoczęciu. Powierzchnia punktu końcowego czy urządzenie łączące jest wystarczająco zaufane do przyznanego dostępu.

Wskazówki dotyczące oceny:

  • 0: dostęp uprzywilejowany wymaga wzmocnionych stacji roboczych administratorów lub hostów skokowych; funkcje sesji wysokiego ryzyka są ograniczone tam, gdzie to konieczne.
  • 1: Kontrola sesji istnieje, ale nie jest dostosowana do wrażliwości danych.
  • 2: punkty końcowe to mieszanka zarządzanych i niezarządzanych z tymi samymi możliwościami sesji.
  • 3: dostęp do pulpitu zdalnego o wysokich uprawnieniach jest dozwolony z dowolnego urządzenia z minimalnymi ograniczeniami.

Uwaga praktyczna:

Ten filar jest szczególnie istotny dla dostępu opartego na przeglądarkach. Portale HTML5 eliminują tarcia związane z systemem operacyjnym i upraszczają proces wprowadzania, ale również ułatwiają szerokie przyznawanie dostępu. Pytanie dotyczące polityki brzmi: „którzy użytkownicy mają dostęp do przeglądarki do których zasobów”.

Filary 5: Powierzchnia operacyjna

Powierzchnia operacyjna to postawa utrzymania, która określa, jak długo słabości pozostają na miejscu. To nie jest inżynieria wykrywania. To rzeczywistość zapobiegania: jeśli łatanie i dryf konfiguracji są wolne, narażenie wraca.

Wskazówki dotyczące oceny:

  • 0: komponenty zdalnego dostępu są szybko łatanie; konfiguracja jest wersjonowana; przeglądy dostępu odbywają się zgodnie z harmonogramem.
  • 1: łatanie jest dobre dla serwerów, ale słabe dla bramek, wtyczek lub usług wspierających.
  • 2: dryft istnieje; wyjątki się gromadzą; dziedziczne punkty końcowe pozostają.
  • 3: własność jest niejasna, a zmiany w zdalnym dostępie nie są śledzone od początku do końca.

Uwaga praktyczna:

Powierzchnia operacyjna to miejsce, w którym najbardziej ujawnia się złożoność średniego rynku. Jeśli nie jest odpowiednio zarządzana, wiele zespołów i wiele narzędzi tworzy luki, które atakujący mogą cierpliwie wykorzystać.

Jak przejść od oceny do działania ochronnego?

Wynik jest użyteczny tylko wtedy, gdy zmienia to, co zostanie zrobione następnie. Użyj całkowitej wartości, aby wybrać potencjalny scenariusz zmiany. Pamiętaj, że celem jest zmniejszenie narażenia w celu zminimalizowania ryzyka.

  • 0–4 (Niski): walidować dryf, wzmocnić pozostały słaby filar i egzekwować spójność w narzędziach.
  • 5–9 (Średni): priorytetuj najpierw ekspozycję i tożsamość, a następnie zaostrz autoryzację.
  • 10–15 (Wysoki): usuń bezpośrednią ekspozycję natychmiast, dodaj silną autoryzację, a następnie agresywnie zawęż dostęp.

Scenariusz 1: administrator IT RDP plus użytkownik końcowy VDI

Powszechnym wzorcem jest „administratorzy używają RDP, użytkownicy używają VDI.” Ścieżka ataku zazwyczaj prowadzi przez najsłabszą tożsamość lub najbardziej narażoną ścieżkę administratora, a nie przez sam produkt VDI.

Poprawki priorytetowe:

  1. Zredukuj narażenie dla ścieżek administracyjnych najpierw, nawet jeśli dostęp użytkownika końcowego pozostaje bez zmian.
  2. Wymuś separację kont uprzywilejowanych i MFA konsekwentnie.
  3. Ogranicz, które hosty akceptują interaktywne logowania administratora.

Uwaga:

Ten scenariusz korzysta z traktowania dostępu administratora jako osobnego produktu z osobną polityką, nawet jeśli ta sama platforma obsługuje oba.

Scenariusz 2: Wykonawcy i BYOD za pomocą HTML5

Dostęp oparty na przeglądarce jest przydatnym mostem w mieszanych środowiskach systemów operacyjnych. Ryzyko polega na tym, że „łatwy dostęp” staje się „szerokim dostępem”.

Poprawki priorytetowe:

  • Użyj portal HTML5 jako kontrolowane drzwi frontowe, a nie ogólny brama.
  • Publikuj konkretne aplikacje dla wykonawców zamiast pełnych pulpitów, gdy to możliwe.
  • Użyj ograniczeń czasowych i przypisania opartego na grupach, aby dostęp wykonawcy kończył się automatycznie, gdy okno się zamyka.

Uwaga:

TSplus Remote Access opisuje model klienta HTML5, w którym użytkownicy logują się przez dostosowywany portal internetowy i uzyskują dostęp do pełnego pulpitu lub opublikowanych aplikacji w przeglądarce. Zalecamy jednolity proces logowania oraz uwierzytelnianie wieloskładnikowe, aby przyczynić się do wysokiego poziomu bezpieczeństwa procesu logowania opartego na przeglądarce.

Scenariusz 3: Narzędzia wsparcia zdalnego w tym samym majątku

Narzędzia do zdalnego wsparcia często są pomijane, ponieważ są „dla helpdesku”, a nie „dla produkcji”. Napastnicy nie mają z tym problemu. Jeśli narzędzie wsparcia może stworzyć dostęp bez nadzoru lub podnieść uprawnienia, staje się częścią powierzchni ataku zdalnego pulpitu.

Poprawki priorytetowe:

  • Oddzielić możliwości pomocy technicznej od możliwości administracyjnych.
  • Ogranicz dostęp bez nadzoru do wyraźnych grup i zatwierdzonych punktów końcowych.
  • Dopasuj uwierzytelnianie narzędzia wsparcia do tożsamości przedsiębiorstwa i MFA, gdzie to możliwe.

Uwaga:

Aby uniknąć problemów związanych z pomocą, TSplus Remote Support jest hostowany samodzielnie, zaproszenia są generowane przez gospodarza dla agenta wsparcia, a kody logowania to jednorazowe zestawy cyfr, które zmieniają się za każdym razem. Co więcej, proste zamknięcie aplikacji przez gospodarza całkowicie przerywa połączenie.

Gdzie TSplus Remote Access pasuje do wzorca „Redukcja narażenia”?

Bezpieczeństwo napędzane przez oprogramowanie

W planowaniu zapobiegania, TSplus Remote Access pasuje jako wzór publikacji i dostarczania: może standaryzować lub różnicować sposób, w jaki użytkownicy i grupy się łączą oraz co mogą osiągnąć, a także kiedy i z jakiego urządzenia, dzięki czemu zdalny dostęp staje się oparty na polityce, a nie ad hoc.

TSplus Advanced Security jest zaprojektowany, aby chronić serwery aplikacji i nie pozostawia nic przypadkowi. Od momentu zainstalowania znane złośliwe adresy IP są blokowane, gdy zaczyna działać. Każda z starannie dobranych funkcji przyczynia się do zabezpieczenia i ochrona twoich serwerów i aplikacji , a zatem każde biurko.

Tryby połączeń jako wybory polityki (RDP, RemoteApp, HTML5…)

Gdy tryby połączenia są traktowane jako „zwykłe UX”, decyzje dotyczące bezpieczeństwa są pomijane. TSplus Remote Access ma trzy lepiej znane tryby połączenia: klient RDP, klient RemoteApp i klient HTML5, z których każdy odpowiada innemu doświadczeniu dostarczania. Nasz przewodnik szybkiego startu rozszerza listę elastycznych opcji, które obejmują również klasyczne połączenie z pulpitem zdalnym, przenośny klient RDP TSplus, klient MS RemoteApp oraz klientów Windows i HTML5 przez portal internetowy.

Prewencja na boku:

Tryby połączenia mogą zmniejszyć ryzyko, gdy pomagają w egzekwowaniu spójności.

  • Dostęp klienta RDP może pozostać wewnętrzny dla procesów administracyjnych, podczas gdy użytkownicy końcowi korzystają z opublikowanych aplikacji.
  • RemoteApp zmniejsza "pełną ekspozycję pulpitu" dla użytkowników, którzy potrzebują tylko jednej aplikacji.
  • HTML5 może zastąpić delikatne wymagania dotyczące punktów końcowych, co pomaga w egzekwowaniu jednych kontrolowanych drzwi frontowych zamiast wielu improwizowanych.

TSplus Advanced Security w postępie „guard RDP”

Wynik ryzyka zazwyczaj identyfikuje te same najważniejsze problemy: hałas w internecie, powtarzające się próby logowania oraz niespójne wzorce dostępu na różnych serwerach. To tutaj TSplus Advanced Security jest umiejscowiony jako warstwa ochronna dla środowisk pulpitu zdalnego, w tym ochrona skoncentrowana na ransomware i tematy wzmacniania sesji opisane w naszej dokumentacji produktowej lub na stronach bloga.

W modelu oceny ryzyka, Advanced Security wspiera część „zmniejszenie prawdopodobieństwa” zapobiegania:

  • Zatrzymaj próby nadużycia poświadczeń, aby zgadywanie haseł nie pozostało stałym tłem.
  • Ogranicz ścieżki dostępu za pomocą reguł IP i geograficznych, gdy publiczne wejście jest nieuniknione.
  • Dodaj kontrolki protect-first, które zmniejszają szansę, że pojedyncze logowanie stanie się wpływem ransomware.

Wniosek: Czy zapobieganie będzie wystarczające?

Ocena ryzyka zmniejsza prawdopodobieństwo kompromitacji. Nie gwarantuje bezpieczeństwa, szczególnie w mieszanych środowiskach, gdzie dane uwierzytelniające mogą być kradzione przez phishing lub infostealery. Dlatego planowanie wykrywania i reakcji wciąż ma znaczenie. Oceń pięć filarów, napraw najsłabsze najpierw, a następnie ponownie oceń, aż zdalny dostęp stanie się kontrolowaną usługą, a nie zbiorem wyjątków.

Ogólnie dąż do spójności. Ustandaryzuj ścieżki dostępu, używaj HTML5 tam, gdzie usuwa bariery punktów końcowych bez poszerzania zakresu, i publikuj tylko to, czego każda grupa potrzebuje, z wyraźnymi oknami czasowymi.

Jak widać powyżej, Remote Access strukturyzuje i publikuje dostęp, podczas gdy Advanced Security broni serwery za tym dostępem przed atakującymi, którzy naciskają na perymetr. Pytanie nie brzmi, czy będą atakujący. Raczej chodzi o to, "jak dobrze jest chroniony twój perymetr?".

Dalsze czytanie i działania:

Aby to zobaczyć, dla zespołów, które chcą kolejnej warstwy, nasz przewodnik po inżynierii wykrywania skoncentrowany na intruzjach ransomware prowadzonych przez RDP może być interesujący. Wskazuje na wzorce o wysokim sygnale i koncentruje się na co robić w pierwszych 30–60 minutach .” Świetne kontynuowanie, gdy model zapobiegania jest wdrożony, może również dostarczyć pomysłów na maksymalizację Advanced Security i innych ustawień oprogramowania TSplus dla bezpieczeństwa twojej infrastruktury.

TSplus Darmowy okres próbny dostępu zdalnego

Ostateczna alternatywa dla Citrix/RDS w zakresie dostępu do pulpitu/aplikacji. Bezpieczne, opłacalne, lokalne/chmurowe

Rozpocznij bezpłatny okres próbny

FAQ:

Czy zdalny pulpit może zostać zhakowany, nawet jeśli oprogramowanie jest „bezpieczne”?

Tak. Większość naruszeń bezpieczeństwa zdarza się przez wystawione ścieżki dostępu i słabą tożsamość, a nie przez wykorzystanie oprogramowania. Zdalny pulpit jest często kanałem używanym po uzyskaniu poświadczeń.

Czy RDP jest z natury niebezpieczny?

RDP nie jest z natury niebezpieczny, ale staje się wysokim ryzykiem, gdy jest dostępny przez internet i chroniony głównie hasłami. Celowanie w porty i słaba autoryzacja są powszechnymi przyczynami.

Czy portal zdalnego pulpitu HTML5 zmniejsza ryzyko włamań?

Może to zrobić, jeśli centralizuje dostęp za jednymi kontrolowanymi drzwiami z jednolitą autoryzacją i uwierzytelnianiem. Zwiększa ryzyko, jeśli ułatwia szeroki dostęp bez ścisłej polityki.

Jaki jest najszybszy sposób na zmniejszenie ryzyka włamania do pulpitu zdalnego?

Zredukuj najpierw narażenie, a następnie wzmocnij tożsamość. Jeśli ścieżka pulpitu zdalnego jest publicznie dostępna i oparta na haśle, środowisko powinno być uznawane za „ostatecznie skompromitowane”.

Jak mam wiedzieć, co naprawić jako pierwsze w mieszanym środowisku?

Użyj wskaźnika ryzyka, takiego jak RDRS, i najpierw napraw najwyższy filar. W większości środowisk Ekspozycja i Tożsamość generują największy spadek ryzyka na godzinę spędzoną.

Udostępnij:

Facebook Twitter LinkedIn

Twój zespół TSplus

Dalsza lektura

back to top of the page icon