Хотите увидеть сайт на другом языке?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Сменить язык
Содержание
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Почему удалённые рабочие столы требуют высокой безопасности?

Удаленный рабочий стол не является автоматически небезопасным, но, как и любой режим удаленного подключения, он никогда не безопаснее системы вокруг него. Для системных администраторов правильный вопрос не в том, безопасен ли удаленный рабочий стол в абстрактном смысле. Правильный вопрос заключается в том, достаточно ли сильны конечная точка, путь сетевого воздействия и контроль учетных записей, чтобы поддерживать его.

Это важно, потому что текущее руководство Microsoft по-прежнему сосредоточено на безопасном Remote Desktop вокруг аутентификации на уровне сети (NLA), RD Gateway, TLS-сертификатов и MFA, а не на прямом публичном доступе. В соответствии с этим, CISA и аналогичные рекомендации постоянно побуждают организации отключать неиспользуемый доступ RDP, ограничивать рискованные услуги и внедрять MFA, поскольку открытый удаленный доступ остается общим путем вторжения. Тем не менее, мы считаем, что нужно сделать больше.

Какие три первоначальные проверки определяют риск удаленного рабочего стола?

Риск конечной точки

Риск конечной точки — это состояние самой машины. Полностью обновленная рабочая станция Windows с современным защитным программным обеспечением для конечных точек, ограниченными правами администратора и контролируемым поведением сеансов находится в совершенно другом положении по сравнению со стареющим сервером с широким доступом к локальному администратору и устаревшими учетными данными. Безопасные удаленные рабочие столы начинаются с хоста, который уже защищен до начала любого удаленного сеанса.

Риск сетевой уязвимости

Риск сетевой экспозиции связан с доступностью. Если поверхность входа доступна напрямую из интернета, машина подвержена сканированию, угадыванию паролей и попыткам эксплуатации. Если тот же хост доступен только через VPN, RD Gateway или строго управляемый уровень доступа, риск существенно меняется. Microsoft явно позиционирует RD Gateway как способ предоставления зашифрованного доступа через HTTPS без открытия внутренних RDP портов.

Риск аккаунта

Риск учетной записи связан с качеством идентификации и привилегиями. Безопасный хост быстро становится небезопасным, когда удаленные входы зависят от повторно используемых паролей, неактивных учетных записей администраторов или широких прав доступа. Рекомендации по планированию RDS от Microsoft продолжают рассматривать MFA как основное средство контроля для безопасного удаленного доступа, особенно когда доступ осуществляется через RD Gateway.

Почему ответ меняется для домашнего ПК, офисной рабочей станции, сервера или фермы и более крупной инфраструктуры?

Домашние ПК

Домашний ПК обычно имеет меньший радиус поражения, чем сервер производства, но им часто управляют менее строго. Потребительские маршрутизаторы, случайная переадресация портов, слабые локальные пароли и непоследовательное обновление могут сделать домашнюю систему удивительно уязвимой. Основной риск часто заключается в плохой конфигурации, а не в преднамеренном проектировании предприятия.

Офисные рабочие станции

Офисная рабочая станция обычно находится внутри управляемой сети, но это не устраняет риск. Если скомпрометированная учетная запись пользователя может получить удаленный доступ к рабочей станции, рабочая станция может стать опорной точкой для бокового перемещения, кражи данных или повышения привилегий. На практике офисные конечные устройства нуждаются как в гигиене конечных устройств, так и в четкой политике удаленного доступа.

Серверы Windows

Сервер Windows несет наибольшие последствия. Удаленный доступ к файловому серверу, серверу приложений или хосту сеансов удаленного рабочего стола означает, что злоумышленник ближе к критическим данным, общим сервисам и административным инструментам. Вот почему безопасные RD-серверы нуждаются в более строгих контролях идентификации, более узком доступе и активных защитных мерах на поверхности входа.

Фермы и более крупные инфраструктуры

В фермерском или более крупном инфраструктурном решении для удаленного доступа риск больше не связан только с одной машиной. Одна слабая рабочая станция, открытый сервер или учетная запись администратора с избыточными правами могут повлиять на всю среду, которая включает опубликованные приложения, серверы удаленного рабочего стола, веб-порталы, шлюзы и поддерживающие системы управления. Для ISV, MSP и корпоративных ИТ-команд настоящая проблема заключается в том, что согласованность между многими конечными точками и путями доступа .

Это изменяет вопрос безопасности двумя способами.

Общее воздействие

Сначала администраторам необходимо мыслить в терминах общего воздействия, а не изолированных хостов.

Масштабируемые элементы управления

Во-вторых, им нужны средства управления, которые масштабируются в смешанных средах, включая рабочие станции пользователей, защищенные RD-серверы и системы, доступные из интернета.

В этом контексте защита удаленных соединений означает стандартизацию политики, снижение поверхности атаки по всему объекту и централизованный мониторинг аутентификации и поведения сессий, а не по каждому хосту.

Риск конечной точки: готов ли хост к удаленному доступу?

Перед тем как защитить удаленные соединения, убедитесь, что хост действительно заслуживает того, чтобы быть открытым. Начните с частоты обновлений, защиты конечных точек, объема прав локального администратора и гигиены сохраненных учетных данных. NLA помогает сократить настройку неаутентифицированных сеансов, но не компенсирует плохое состояние машины. Microsoft по-прежнему рекомендует NLA, потому что пользователи аутентифицируются. перед установлением сеанса что снижает риск несанкционированного доступа и ограничивает использование ресурсов аутентифицированными пользователями.

Для быстрого обзора конечной точки проверьте эти элементы:

  1. Полностью ли операционная система обновлена и поддерживается?
  2. Требуются ли только пользователи, входящие в группу пользователей удаленного рабочего стола?
  3. Ограничены ли права локального администратора?
  4. Активна ли защита конечных точек и осуществляется ли мониторинг?
  5. Регулярно ли проверяются кэшированные учетные данные, сохраненные сеансы и неактивные учетные записи?

Это также то место, где TSplus Advanced Security хорошо вписывается как уровень жесткой защиты. Наше программное обеспечение Advanced Security является инструментом для обеспечения безопасности серверов приложений и Remote Desktop. Из нашей регулярно обновляемой документации стоит выделить некоторые наиболее актуальные функции, а именно защиту от грубой силы, географическую защиту и защиту от программ-вымогателей, из начального потока конфигурации.

Риск сетевой уязвимости: могут ли злоумышленники получить доступ к поверхности входа?

Прямое воздействие через интернет

Прямое воздействие RDP остается самым опасным распространенным паттерном. Если TCP 3389 доступен из публичного интернета, машина становится обнаружимой для сканеров и трафика грубой силы. CISA неоднократно советует организациям отключать порты и протоколы, не требуемые для делового использования, явно упоминая порт RDP 3389 в нескольких рекомендациях по программам-вымогателям и угрозам.

VPN, RD Gateway или контролируемый доступ

Контролируемый путь доступа безопаснее, потому что он сужает открытую входную дверь. Текущий Microsoft Обзор RDS утверждает, что RD Gateway предоставляет безопасный, зашифрованный доступ к RDP через HTTPS из внешних сетей без открытия внутренних портов RDP и поддерживает MFA и условные политики. Это гораздо более надежная модель, чем прямое открытие RDP.

Где подходит TSplus Advanced Security?

TSplus Advanced Security наиболее полезен, когда вам нужно больше контроля над открытым доступом к Windows удаленному доступу. От блокировки хакеров до защиты Remote Desktop и серверов приложений, от ограничения разрешенных стран до внесения в черный список враждебных IP-адресов или автоматического реагирования на поведение брутфорса, Advanced Security имеет защиту на 360°. Например, наша онлайн-документация специально описывает работу Географической Защиты с встроенным брандмауэром Advanced Security. Тем временем, Bruteforce Protection автоматически вносит в черный список нарушающие IP-адреса после повторных неудач.

Вам нужен более строгий контроль над открытым удаленным доступом, но вы хотите избежать усложнения на уровне предприятия? Вы можете начать бесплатную пробную версию TSplus Advanced Security и мгновенно узнать, что она может сделать, а также в течение следующих 15 дней.

Риск учетной записи: Кто может войти и с каким уровнем привилегий?

Учетные данные

Слабые учетные данные по-прежнему являются одним из самых быстрых способов потерять контроль над удаленно доступной машиной. Доступ только по паролю, общие учетные записи администратора и старые учетные данные службы превращают управляемую настройку в привлекательную цель. Даже когда транспорт зашифрован, плохая гигиена идентификации подрывает всю конструкцию.

Многофакторная аутентификация

MFA является одним из самых очевидных способов снижения этого риска. Рекомендации по планированию RDS от Microsoft продолжают сосредотачиваться на MFA в безопасных рабочих процессах удаленного рабочего стола, а TSplus 2FA разработан специально для добавления как минимум второго фактора к входящему удаленному доступу.

Наименьшие привилегии

Минимальные привилегии имеют такое же значение. На защищенных RD-серверах права удаленного входа должны быть ограничены именованными группами, администраторские сессии должны быть отделены от рутинного доступа пользователей, а неактивные учетные записи должны быть отключены. Если вы не знаете точно, кто может войти удаленно, среда уже слабее, чем кажется.

Блокировка устройства пользователя

Для дополнительного спокойствия мы сделали доступным дополнительный уровень защиты в виде Доверенных Устройств. Эта функция безопасности конечных точек связывает имя пользователя с его привычным устройством, что позволяет быстрее реагировать в случае его потери или кражи.

5-минутная самопроверка для системных администраторов

Запустите эту быструю проверку, прежде чем предполагать, что машина безопасна для Remote Desktop:

  1. Порт 3389 доступен из публичного интернета?
  2. Включен ли NLA на целевом хосте?
  3. Удаляется ли удаленный доступ через VPN, RD Gateway или другой контролируемый путь?
  4. Обязателен ли MFA для удаленных входов?
  5. Права на удаленный вход ограничены самой необходимой группой?
  6. Является ли TSplus Advanced Security или эквивалентная защита блокировка грубой силы и враждебная активность IP?
  7. Хост обновлен, мониторится и не содержит устаревших привилегированных учетных записей?

Если ответ на первый вопрос "да", а следующие три "нет", рассматривайте машину как высокорискованную.

Что исправить в первую очередь

Системные администраторы обычно получают наибольшее снижение риска от последовательности, а не от объема. Сначала исправьте порядок управления.

Начните с удаления прямого публичного доступа, где это возможно. Затем ужесточите идентификацию с помощью MFA и меньших областей входа. После этого укрепите хост и добавьте активные защитные меры вокруг поверхности удаленного доступа.

Для многих малых и средних предприятий это именно то место, где TSplus Advanced Security становится как практичным, так и необходимым. Продукт разработан для удаленного доступа к Windows и серверам приложений, и наша соответствующая статья TSplus о безопасное удаленное подключение к сайту расширяет это, также расшифровывая, почему Advanced Security является основным уровнем защиты для безопасных сред удаленного доступа.

Заключение: Безопасность удаленного рабочего стола начинается на верхнем уровне

Насколько безопасен ваш компьютер от удаленного рабочего стола зависит не столько от самого удаленного рабочего стола, сколько от проверок вокруг него. Положение конечного устройства определяет, можно ли защитить машину. Сетевое воздействие решает, могут ли злоумышленники получить доступ к поверхности входа. Контроль учетной записи определяет, становится ли действительный вход серьезным инцидентом.

Таков практический ответ для администрирования системы. Если вы хотите хорошо защитить удаленные соединения, не начинайте с сеанса. Начните с хоста, пути экспозиции и слоя идентификации. Как только это будет сделано, закрепите эти решения с помощью таких инструментов, как TSplus Advanced Security и доступ с поддержкой MFA.

Начните сегодня с всеобъемлющая безопасность IT-сервера, сделанная простой .

Поделиться:

Facebook Twitter LinkedIn

Ваша команда TSplus

Дальнейшее чтение

TSplus Remote Desktop Access - Advanced Security Software

Можно ли взломать удаленный рабочий стол? Практический риск-оценка для предотвращения

Можно ли взломать удаленный рабочий стол? Да, удаленный рабочий стол можно взломать. Используйте практическую оценку риска, чтобы снизить уязвимость, укрепить идентификацию и обеспечить безопасность RDP, HTML5 порталов и доступа к VDI.

Читать статью →
TSplus Remote Desktop Access - Advanced Security Software

Протокол удаленного рабочего стола Ransomware: Инженерия обнаружения при столкновении с вторжениями, связанными с RDP

Обнаружьте программное обеспечение-вымогатель протокола удаленного рабочего стола на ранней стадии, создайте высокосигнальную телеметрию, базовые показатели, оповещения и практические шаги триажа, а также спланируйте ответы на вторжения, связанные с RDP.

Читать статью →
back to top of the page icon