Vill du se webbplatsen på ett annat språk?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Ändra språk
Innehållsförteckning
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Varför kräver fjärrskrivbord stark säkerhet?

Fjärrskrivbord är inte automatiskt osäkert, men, precis som med alla fjärranslutningslägen, är det aldrig säkrare än systemet runt omkring det. För systemadministratörer är den rätta frågan inte huruvida Fjärrskrivbord är säkert i abstrakt bemärkelse. Den rätta frågan är huruvida slutpunkten, nätverksutställningsvägen och kontrollerna för kontot är tillräckligt starka för att stödja det.

Detta ramverk är viktigt eftersom Microsofts nuvarande vägledning fortfarande fokuserar på säker Remote Desktop kring Network Level Authentication (NLA), RD Gateway, TLS-certifikat och MFA snarare än direkt offentlig exponering. I enlighet med detta, CISA och liknande vägledning driver konsekvent organisationer att inaktivera oanvänd RDP-åtkomst, begränsa riskabla tjänster och genomdriva MFA eftersom exponerad fjärråtkomst förblir en vanlig intrångsväg. Ändå anser vi att det finns mer att göra.

Vilka tre inledande kontroller avgör risken för Remote Desktop?

Endpoint risk

Endpointrisk är tillståndet för själva maskinen. En fullt uppdaterad Windows-arbetsstation med modern endpointskydd, begränsade administratörsrättigheter och kontrollerat sessionsbeteende befinner sig i en helt annan position jämfört med en åldrande server med bred lokal administratörsåtkomst och föråldrade referenser. Säkra fjärrskrivbord börjar med en värd som redan är försvarbar innan någon fjärrsession inleds.

Nätverksutställningsrisk

Nätverksutställningsrisk handlar om nåbarhet. Om en inloggningsyta är direkt nåbar från internet, är maskinen utsatt för skanning, lösenordsgissning och exploateringsförsök. Om samma värd endast är tillgänglig genom en VPN, en RD Gateway eller ett noggrant hanterat åtkomstlager, förändras risken avsevärt. Microsoft positionerar uttryckligen RD Gateway som ett sätt att tillhandahålla krypterad åtkomst över HTTPS utan att öppna interna RDP-portar.

Kontorisk

Kontorisk handlar om identitetskvalitet och privilegier. En säker värd blir snabbt osäker när fjärrinloggningar förlitar sig på återanvända lösenord, inaktiva administratörskonton eller breda rättigheter. Microsofts RDS-planeringsriktlinjer fortsätter att betrakta MFA som en kärnkontroll för säker fjärråtkomst, särskilt när åtkomst förmedlas genom RD Gateway.

Varför ändras svaret för en hem-PC, kontorsarbetsstation, server eller farm och större infrastruktur?

Hem-PCar

En hemmadator har vanligtvis en mindre spridningsradius än en produktionsserver, men den hanteras ofta mindre rigoröst. Konsumentroutrar, oseriös portvidarebefordran, svaga lokala lösenord och inkonsekvent patchning kan göra ett hemsystem överraskande utsatt. Den största risken är ofta dålig konfiguration snarare än avsiktlig företagsdesign.

Kontorsarbetsstationer

En kontorsarbetsstation sitter vanligtvis inom ett hanterat nätverk, men det tar inte bort risken. Om ett komprometterat användarkonto kan nå arbetsstationen på distans kan arbetsstationen bli en pivotpunkt för laterala rörelser, datastöld eller privilegierad upptrappning. I praktiken behöver kontorsändpunkter både ändpunkthygien och en tydlig policy för fjärråtkomst.

Windows-servrar

En Windows-server har den högsta konsekvensen. Fjärråtkomst till en filserver, applikationsserver eller Remote Desktop Session Host innebär att angriparen är närmare kritiska data, delade tjänster och administrativa verktyg. Det är därför säkra RD-servrar behöver striktare identitetskontroller, smalare exponering och aktiva försvarskontroller vid inloggningsytan.

Gårdar och större infrastrukturer

I en gård eller större infrastruktur för fjärråtkomst är risken inte längre kopplad till en enda maskin. En enda svag arbetsstation, en exponerad server eller ett överbehörigt administratörskonto kan påverka en hel miljö som inkluderar publicerade applikationer, Remote Desktop-servrar, webbportaler, gateways och stödjande hanteringssystem. För ISV:er, MSP:er och företags-IT-team är den verkliga utmaningen att konsekvens över många slutpunkter och åtkomstvägar .

Detta ändrar säkerhetsfrågan på två sätt.

Delad exponering

Först måste administratörer tänka i termer av delad exponering snarare än isolerade värdar.

Skalbara kontroller

För det andra behöver de kontroller som skalar över blandade miljöer, inklusive användararbetsstationer, säkra RD-servrar och internetanslutna system.

I det sammanhanget innebär skydd av fjärranslutningar att standardisera policy, minska angreppsyta över hela fastigheten och centralt övervaka autentisering och sessionsbeteende snarare än värd för värd.

Endpoint Risk: Är värden redo för Remote Access?

Innan du skyddar fjärranslutningar, verifiera att värden verkligen förtjänar att exponeras. Börja med patchning, endpoint-skydd, lokala administratörsrättigheter och hantering av sparade autentiseringsuppgifter. NLA hjälper till att minska obehörig sessionsinställning, men det kompenserar inte för en dåligt underhållen maskin. Microsoft rekommenderar fortfarande NLA eftersom användare autentiserar. innan en session upprättas vilket minskar risken för obehörig åtkomst och begränsar resursåtagandet till autentiserade användare.

För en snabb granskning av slutpunkter, kontrollera dessa punkter:

  1. Är operativsystemet helt uppdaterat och stöds?
  2. Är endast nödvändiga användare i gruppen för användare av fjärrskrivbord?
  3. Är lokala administratörsrättigheter begränsade?
  4. Är endpoint-skyddet aktivt och övervakat?
  5. Granskas cachade referenser, sparade sessioner och inaktiva konton regelbundet?

Detta är också där TSplus Advanced Security passar bra som ett uppströms härdningslager. Vår Advanced Security-programvara är en verktygslåda för att säkra applikationsservrar och Remote Desktop. Från vår regelbundet uppdaterade dokumentation är det värt att lyfta fram några av de mest relevanta funktionerna, nämligen Bruteforce Protection, Geographic Protection och Ransomware Protection, från det initiala konfigurationsflödet.

Nätverksutställningsrisk: Kan angripare nå inloggningsytan?

Direkt exponering över internet

Direkt RDP-exponering förblir det farligaste vanliga mönstret. Om TCP 3389 är nåbart från det offentliga internet blir maskinen upptäckbar för skannrar och bruteforce-trafik. CISA rekommenderar upprepade gånger organisationer att inaktivera portar och protokoll som inte krävs för affärsanvändning, och nämner uttryckligen RDP-port 3389 i flera ransomware- och hotadviseringar.

VPN, RD Gateway eller kontrollerad åtkomstväg

En kontrollerad åtkomstväg är säkrare eftersom den begränsar den exponerade ytterdörren. Microsofts nuvarande RDS översikt anger att RD Gateway tillhandahåller säker, krypterad RDP-åtkomst över HTTPS från externa nätverk utan att öppna interna RDP-portar, och det stöder MFA och villkorliga policys. Det är en mycket starkare modell än att exponera RDP direkt.

Var passar TSplus Advanced Security in?

TSplus Advanced Security är mest användbart när du behöver mer kontroll över den exponerade kanten av Windows fjärråtkomst. Från att blockera hackare till att skydda Remote Desktop och applikationsservrar, från att begränsa tillåtna länder till att svartlista fientliga IP-adresser, eller till att automatiskt svara på bruteforce-beteende har Advanced Security ett 360° skyddsområde. Till exempel beskriver vår online-dokumentation specifikt hur Geographic Protection fungerar med Advanced Securitys inbyggda brandvägg. Under tiden svartlistar Bruteforce Protection automatiskt brottsliga IP-adresser efter upprepade misslyckanden.

Behöver du starkare kontroll över exponerad fjärråtkomst men vill undvika att lägga till företagskomplexitet? Du är välkommen att börja din gratis TSplus Advanced Security-test och upptäcka vad det kan göra omedelbart samt under de kommande 15 dagarna.

Kontorisk: Vem kan logga in, och med vilken behörighet?

Referenser

Svaga autentiseringsuppgifter är fortfarande ett av de snabbaste sätten att förlora kontrollen över en fjärråtkomlig maskin. Endast lösenordsåtkomst, delade administratörskonton och gamla tjänsteautentiseringar förvandlar en hanterbar installation till ett attraktivt mål. Även när transporten är krypterad, undergräver dålig identitetshygien hela designen.

Multifaktorautentisering

MFA är ett av de tydligaste sätten att minska den risken. Microsofts RDS-planeringsriktlinjer fortsätter att centrera MFA i säkra fjärrskrivbordsarbetsflöden, och TSplus 2FA är utformat specifikt för att lägga till minst en andra faktor till inkommande fjärråtkomst.

Minst privilegium

Minimala privilegier är lika viktiga. På säkra RD-servrar bör fjärrinloggningsrättigheter begränsas till namngivna grupper, administratörssessioner bör separeras från rutinanvändartillgång, och inaktiva konton bör inaktiveras. Om du inte vet exakt vem som kan logga in på distans är miljön redan svagare än den verkar.

Enhet-användarlåsning

För att öka tryggheten har vi gjort ett extra skydd tillgängligt i form av Betrodda Enheter. Denna endpoint-säkerhetsfunktion låser ett användarnamn till sin vanliga enhet, vilket möjliggör snabbare respons om den skulle gå förlorad eller bli stulen.

En 5-minuters självkontroll för systemadministratörer

Kör denna snabba kontroll innan du antar att en maskin är säker för Remote Desktop:

  1. Är port 3389 nåbar från det offentliga internet?
  2. Är NLA aktiverat på målhosten?
  3. Är fjärråtkomst förmedlad genom VPN, RD Gateway eller en annan kontrollerad väg?
  4. Är MFA tvingande för fjärrinloggningar?
  5. Är fjärrinloggningsrättigheter begränsade till den minsta nödvändiga gruppen?
  6. Är TSplus Advanced Security eller motsvarande skydd blockera bruteforce och fientlig IP-aktivitet?
  7. Är värden uppdaterad, övervakad och fri från inaktiva privilegierade konton?

Om svaret på den första frågan är ja och de tre följande är nej, behandla maskinen som hög risk.

Vad ska åtgärdas först

Systemadministratörer får vanligtvis den största riskreduktionen från sekvens, inte från volym. Åtgärda ordningen på kontrollerna först.

Börja med att ta bort direkt offentlig exponering där det är möjligt. Därefter, skärp identiteten med MFA och mindre inloggningsområden. Efter det, härda värden och lägg till aktiva försvarskontroller runt ytan för fjärråtkomst.

För många SMB- och medelstora miljöer är det här TSplus Advanced Security blir både praktiskt och nödvändigt. Produkten är utvecklad för Windows fjärråtkomst och applikationsservrar, och vår relaterade TSplus-artikel om säker fjärranslutning till webbplats utvidgar detta, och avkodar också varför Advanced Security är det huvudsakliga skyddslagret för säkra fjärråtkomstmiljöer.

Slutsats: Säkerhet för fjärrskrivbord börjar upstream

Hur säker din dator är från fjärrskrivbord beror mindre på fjärrskrivbordet i sig än på kontrollerna runt det. Slutpunktsställning avgör om maskinen är försvarbar. Nätverksutexponering avgör om angripare kan nå inloggningsytan. Kontohantering avgör om en giltig inloggning blir en stor incident.

Sådant är det praktiska svaret för systemadministration. Om du vill skydda fjärranslutningar väl, börja inte med sessionen. Börja uppströms med värden, exponeringsvägen och identitetslagret. När det är gjort, verkställ dessa beslut med verktyg som TSplus Advanced Security och MFA-stödd åtkomst.

Börja idag med allt-i-ett IT-server säkerhet gjort enkelt .

Dela:

Facebook Twitter LinkedIn

Ditt TSplus Team

Vidare läsning

back to top of the page icon