Chceli by ste vidieť stránku v inom jazyku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmeniť jazyk
Obsah
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Prečo vyžadujú vzdialené plochy silnú bezpečnosť?

Remote Desktop nie je automaticky nebezpečný, ale, ako každý režim vzdialeného pripojenia, nikdy nie je bezpečnejší ako systém okolo neho. Pre systémových administrátorov nie je správna otázka, či je Remote Desktop bezpečný v abstrakte. Správna otázka je, či sú koncový bod, cesta vystavenia siete a kontrola účtov dostatočne silné na to, aby to podporili.

To, že rámovanie je dôležité, pretože súčasné usmernenia spoločnosti Microsoft sa stále sústreďujú na zabezpečený Remote Desktop okolo autentifikácie na úrovni siete (NLA), RD Gateway, TLS certifikátov a MFA, skôr než na priamu verejnú expozíciu. V súlade s tým, CISA a podobné usmernenia neustále tlačia organizácie, aby zakázali nepoužívaný prístup RDP, obmedzili rizikové služby a vynucovali MFA, pretože vystavený vzdialený prístup zostáva bežnou cestou pre vniknutie. Napriek tomu si myslíme, že je potrebné urobiť viac.

Aké tri počiatočné kontroly určujú riziko vzdialeného pracovného stola?

Riziko koncových bodov

Riziko koncových bodov je stav samotného zariadenia. Plne opravená pracovná stanica so systémom Windows s modernou ochranou koncových bodov, obmedzenými administrátorskými právami a kontrolovaným správaním relácie je v úplne inej pozícii v porovnaní so starnúcim serverom s širokým miestnym administrátorským prístupom a zastaranými povereniami. Bezpečné vzdialené pracovné plochy začínajú s hostiteľom, ktorý je už obranyschopný pred začiatkom akejkoľvek vzdialenej relácie.

Riziko vystavenia siete

Riziko vystavenia siete sa týka dosiahnuteľnosti. Ak je prihlasovacia plocha prístupná priamo z internetu, stroj je vystavený skenovaniu, hádaniu hesiel a pokusom o zneužitie. Ak je ten istý hostiteľ prístupný iba prostredníctvom VPN, RD Gateway alebo prísne spravovanej prístupovej vrstvy, riziko sa podstatne mení. Microsoft výslovne pozicionuje RD Gateway ako spôsob poskytovania šifrovaného prístupu cez HTTPS bez otvorenia interných RDP portov.

Riziko účtu

Riziko účtu sa týka kvality identity a oprávnení. Bezpečný hostiteľ sa rýchlo stáva nebezpečným, keď sa vzdialené prihlásenia spoliehajú na opakované heslá, neaktívne administrátorské účty alebo široké oprávnenia. Plánovacia príručka spoločnosti Microsoft pre RDS naďalej považuje MFA za základnú kontrolu pre bezpečný vzdialený prístup, najmä keď je prístup sprostredkovaný cez RD Gateway.

Prečo sa odpoveď mení pre domáci počítač, kancelársku pracovnú stanicu, server alebo farmu a väčšiu infraštruktúru?

Domáce počítače

Domáci počítač má zvyčajne menší dosah výbuchu ako produkčný server, ale často je spravovaný menej prísne. Spotrebiteľské smerovače, príležitostné presmerovanie portov, slabé miestne heslá a nekonzistentné záplaty môžu spraviť domáci systém prekvapivo zraniteľným. Hlavným rizikom je často zlá konfigurácia skôr než zámerný podnikový dizajn.

Kancelárske pracoviská

Kancelárske pracovisko sa zvyčajne nachádza v spravovanej sieti, ale to neznižuje riziko. Ak môže byť ohrozený používateľský účet prístupný k pracovisku na diaľku, pracovisko sa môže stať pivotným bodom pre laterálny pohyb, krádež údajov alebo eskaláciu oprávnení. V praxi potrebujú kancelárske koncové zariadenia hygienu koncových zariadení a jasnú politiku vzdialeného prístupu.

Windows servery

Windows server má najvyššie dôsledky. Remote access k súborovému serveru, aplikačnému serveru alebo hostiteľovi relácie Remote Desktop znamená, že útočník je bližšie k kritickým údajom, zdieľaným službám a administratívnym nástrojom. Preto potrebujú zabezpečené RD servery prísnejšie kontroly identity, užšie vystavenie a aktívne obranné kontroly na prihlasovacej ploche.

Farmy a väčšie infraštruktúry

V prípade farmy alebo väčšej infraštruktúry vzdialeného prístupu nie je riziko viazané len na jeden stroj. Jediná slabá pracovná stanica, vystavený server alebo nadmerne oprávnený administrátorský účet môžu ovplyvniť celé prostredie, ktoré zahŕňa publikované aplikácie, servery Remote Desktop, webové portály, brány a podporné riadiace systémy. Pre ISV, MSP a podnikové IT tímy je skutočnou výzvou konzistencia naprieč mnohými koncovými bodmi a prístupovými cestami .

Toto mení bezpečnostnú otázku dvoma spôsobmi.

Zdieľaná expozícia

Najprv musia administrátori premýšľať v pojmoch zdieľanej expozície namiesto izolovaných hostiteľov.

Škálovateľné ovládania

Druhou potrebujú ovládacie prvky, ktoré sa škálujú naprieč zmiešanými prostrediami, vrátane pracovných staníc používateľov, zabezpečených RD serverov a systémov prístupných z internetu.

V tomto kontexte chránenie vzdialených pripojení znamená štandardizáciu politiky, zníženie útočnej plochy v celom majetku a centrálne monitorovanie autentifikácie a správania relácií namiesto hostiteľa po hostiteľovi.

Riziko koncových bodov: Je hostiteľ pripravený na vzdialený prístup?

Predtým, ako ochránite vzdialené pripojenia, overte, či hostiteľ vôbec zaslúži byť vystavený. Začnite s frekvenciou záplatovania, ochranou koncových bodov, rozsahom miestneho administrátora a hygienou uložených poverení. NLA pomáha znížiť nastavenie neautentifikovaných relácií, ale nenahrádza zle udržiavaný stroj. Microsoft stále odporúča NLA, pretože používatelia sa autentifikujú. predtým, ako sa relácia vytvorí ktorý znižuje riziko neoprávneného prístupu a obmedzuje využívanie zdrojov na overených používateľov.

Pre rýchlu kontrolu koncových bodov skontrolujte tieto položky:

  1. Je operačný systém plne aktualizovaný a podporovaný?
  2. Sú v skupine používateľov vzdialenej plochy iba požadovaní používatelia?
  3. Sú obmedzené práva miestneho administrátora?
  4. Je ochrana koncových bodov aktívna a monitorovaná?
  5. Sú uložené poverenia, uložené relácie a neaktívne účty pravidelne kontrolované?

Toto je tiež miesto, kde sa TSplus Advanced Security dobre hodí ako vrstva na posilnenie zabezpečenia. Náš softvér Advanced Security je nástroj na zabezpečenie aplikačných serverov a Remote Desktop. Z našej pravidelne aktualizovanej dokumentácie stojí za to vyzdvihnúť niektoré najrelevantnejšie funkcie, a to Bruteforce Protection, Geographic Protection a Ransomware Protection, z počiatočného konfiguračného procesu.

Riziko vystavenia siete: Môžu útočníci dosiahnuť prihlasovaciu plochu?

Priame vystavenie cez internet

Priame vystavenie RDP zostáva najnebezpečnejším bežným vzorom. Ak je TCP 3389 dostupný z verejného internetu, stroj sa stáva objaviteľným pre skenery a brutálne útoky. CISA opakovane odporúča organizáciám, aby zakázali porty a protokoly, ktoré nie sú potrebné na obchodné použitie, pričom výslovne uvádza RDP port 3389 v mnohých varovaniach týkajúcich sa ransomvéru a hrozieb.

VPN, RD Gateway alebo riadená prístupová cesta

Kontrolovaná prístupová cesta je bezpečnejšia, pretože zužuje vystavené predné dvere. Aktuálny Microsoft Prehľad RDS uvádza, že RD Gateway poskytuje bezpečný, šifrovaný prístup RDP cez HTTPS z externých sietí bez otvárania interných RDP portov a podporuje MFA a podmienené politiky. To je oveľa silnejší model ako priamy prístup k RDP.

Kde sa hodí TSplus Advanced Security?

TSplus Advanced Security je najviac užitočný, keď potrebujete väčšiu kontrolu nad vystaveným okrajom vzdialeného prístupu k Windows. Od blokovania hackerov po ochranu Remote Desktop a aplikačných serverov, od obmedzenia povolených krajín po zaradenie nepriateľských IP adries na čiernu listinu, alebo automatickú reakciu na správanie typu brute-force, Advanced Security má rozsah ochrany 360°. Napríklad, naša online dokumentácia špecificky popisuje, ako funguje geografická ochrana s integrovaným firewallom Advanced Security. Medzitým, Bruteforce Protection automaticky zaradí na čiernu listinu urážlivé IP adresy po opakovaných zlyhaniach.

Potrebujete silnejšiu kontrolu nad vystaveným vzdialeným prístupom, ale chcete sa vyhnúť zbytočnej podnikovej zložitosti? Vitajte, môžete začať svoju bezplatnú skúšobnú verziu TSplus Advanced Security a okamžite zistiť, čo dokáže, ako aj počas nasledujúcich 15 dní.

Riziko účtu: Kto sa môže prihlásiť a s akými oprávneniami?

Prihlásenie

Slabé poverenia sú stále jedným z najrýchlejších spôsobov, ako stratiť kontrolu nad strojom, ktorý je prístupný na diaľku. Prístup iba pomocou hesla, zdieľané administrátorské účty a staré servisné poverenia premenia spravovateľné nastavenie na atraktívny cieľ. Aj keď je prenos šifrovaný, slabá hygiena identity podkopáva celý dizajn.

Viacfaktorová autentifikácia

MFA je jedným z najjasnejších spôsobov, ako znížiť toto riziko. Plánovacie usmernenia RDS od Microsoftu naďalej sústreďujú MFA na zabezpečené pracovné postupy vzdialeného desktopu a TSplus 2FA je navrhnuté špeciálne na pridanie aspoň druhého faktora k prichádzajúcemu vzdialenému prístupu.

Najmenšie privilégium

Najmenšie privilégium je rovnako dôležité. Na zabezpečených RD serveroch by mali byť práva na vzdialený prístup obmedzené na pomenované skupiny, administrátorské relácie by mali byť oddelené od bežného prístupu používateľov a neaktívne účty by mali byť deaktivované. Ak presne neviete, kto sa môže prihlásiť na diaľku, prostredie je už slabšie, než sa zdá.

Zamknutie používateľa zariadenia

Pre väčší pokoj na duši sme sprístupnili ďalšiu vrstvu ochrany vo forme Dôveryhodných zariadení. Táto funkcia zabezpečenia koncových bodov uzamkne používateľské meno na jeho obvyklom zariadení, čím umožní rýchlejšiu reakciu v prípade jeho straty alebo krádeže.

5-minútová seba-kontrola pre sysadminov

Spustite túto rýchlu kontrolu predtým, ako predpokladáte, že je stroj bezpečný pre Remote Desktop:

  1. Je port 3389 prístupný z verejného internetu?
  2. Je NLA povolené na cieľovom hostiteľovi?
  3. Je vzdialený prístup sprostredkovaný cez VPN, RD Gateway alebo inou kontrolovanou cestou?
  4. Je MFA vynútené pre vzdialené prihlásenia?
  5. Sú práva na vzdialený prístup obmedzené na najmenšiu potrebnú skupinu?
  6. Je TSplus Advanced Security alebo ekvivalentná ochrana blokovanie hrubej sily a nepriateľskej IP aktivite?
  7. Je hostiteľ opravený, monitorovaný a bez zastaraných privilegovaných účtov?

Ak je odpoveď na prvú otázku áno a na nasledujúce tri nie, považujte stroj za vysoké riziko.

Čo opraviť ako prvé

Systémoví administrátori zvyčajne dosahujú najväčšie zníženie rizika z poradia, nie z objemu. Najprv opravte poradie kontrol.

Začnite odstránením priamej verejnej expozície, kde je to možné. Potom posilnite identitu pomocou MFA a menších rozsahov prihlásenia. Následne zabezpečte hostiteľa a pridajte aktívne obranné kontroly okolo povrchu vzdialeného prístupu.

Pre mnohé SMB a stredne veľké prostredia je to miesto, kde sa TSplus Advanced Security stáva praktickým a nevyhnutným. Produkt je vyvinutý pre vzdialený prístup k Windows a aplikačné servery, a náš súvisiaci článok o TSplus na bezpečné pripojenie na vzdialenú lokalitu rozširuje to, pričom tiež objasňuje, prečo je Advanced Security hlavnou ochrannou vrstvou pre bezpečné prostredia vzdialeného prístupu.

Záver: Bezpečnosť vzdialeného pracovného stola začína upstream

Ako bezpečný je váš počítač pred vzdialeným prístupom závisí menej od samotného vzdialeného prístupu a viac od kontrol okolo neho. Postoj koncových bodov rozhoduje, či je stroj brániteľný. Expozícia siete rozhoduje, či útočníci môžu dosiahnuť prihlasovaciu plochu. Kontrola účtu rozhoduje, či sa platné prihlásenie stane vážnou udalosťou.

Takáto je praktická odpoveď na správu systému. Ak chcete dobre chrániť vzdialené pripojenia, nezačínajte so session. Začnite vyššie s hostiteľom, cestou vystavenia a vrstvou identity. Keď je to hotové, presadzujte tieto rozhodnutia pomocou nástrojov ako TSplus Advanced Security a prístupom podporovaným MFA.

Začnite ešte dnes s jednoduchá komplexná bezpečnosť IT serverov .

Zdieľať:

Facebook Twitter LinkedIn

Váš tím TSplus

Ďalšie čítanie

back to top of the page icon