คอมพิวเตอร์ที่เปิดเผยผ่าน Remote Desktop มีความปลอดภัยแค่ไหน?

ทำไม Remote Desktop จึงต้องการความปลอดภัยที่เข้มงวด?

Remote Desktop ไม่ได้ไม่ปลอดภัยโดยอัตโนมัติ แต่เช่นเดียวกับโหมดการเชื่อมต่อระยะไกลใด ๆ มันไม่เคยปลอดภัยกว่าระบบรอบตัวมัน สำหรับผู้ดูแลระบบ คำถามที่ถูกต้องไม่ใช่ว่า Remote Desktop ปลอดภัยในเชิงนามธรรมหรือไม่ คำถามที่ถูกต้องคือจุดสิ้นสุด เส้นทางการเปิดเผยเครือข่าย และการควบคุมบัญชีมีความแข็งแกร่งพอที่จะรองรับมันหรือไม่

การจัดกรอบนั้นมีความสำคัญเพราะคำแนะนำปัจจุบันของ Microsoft ยังคงมุ่งเน้นการรักษาความปลอดภัย Remote Desktop รอบการตรวจสอบระดับเครือข่าย (NLA), RD Gateway, ใบรับรอง TLS และ MFA แทนที่จะมุ่งเน้นไปที่การเปิดเผยต่อสาธารณะโดยตรง ในการปฏิบัติตามนี้ CISA และแนวทางที่คล้ายกันยังคงผลักดันองค์กรให้ปิดการเข้าถึง RDP ที่ไม่ได้ใช้งาน จำกัดบริการที่มีความเสี่ยง และบังคับใช้ MFA เพราะการเข้าถึงระยะไกลที่เปิดเผยยังคงเป็นเส้นทางการบุกรุกที่พบบ่อย อย่างไรก็ตาม เราคิดว่ายังมีสิ่งที่ต้องทำอีกมากมาย

การตรวจสอบเบื้องต้นสามประการใดบ้างที่กำหนดความเสี่ยงของ Remote Desktop?

ความเสี่ยงของจุดสิ้นสุด

ความเสี่ยงของจุดสิ้นสุดคือสภาพของเครื่องเอง คอมพิวเตอร์ Windows ที่ได้รับการอัปเดตอย่างเต็มที่พร้อมการป้องกันจุดสิ้นสุดที่ทันสมัย สิทธิ์การดูแลระบบที่จำกัด และพฤติกรรมการควบคุมเซสชันอยู่ในตำแหน่งที่แตกต่างอย่างมากเมื่อเปรียบเทียบกับเซิร์ฟเวอร์ที่เก่าซึ่งมีการเข้าถึงการดูแลระบบในท้องถิ่นอย่างกว้างขวางและข้อมูลประจำตัวที่ล้าสมัย เดสก์ท็อประยะไกลที่ปลอดภัยเริ่มต้นด้วยโฮสต์ที่สามารถป้องกันได้ก่อนที่เซสชันระยะไกลใด ๆ จะเริ่มต้นขึ้น

ความเสี่ยงจากการเปิดเผยเครือข่าย

ความเสี่ยงจากการเปิดเผยเครือข่ายเกี่ยวกับการเข้าถึง หากพื้นผิวการเข้าสู่ระบบสามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต เครื่องจะถูกเปิดเผยต่อการสแกน การเดารหัสผ่าน และความพยายามในการใช้ประโยชน์ หากโฮสต์เดียวกันสามารถเข้าถึงได้เฉพาะผ่าน VPN, RD Gateway หรือชั้นการเข้าถึงที่จัดการอย่างเข้มงวด ความเสี่ยงจะเปลี่ยนแปลงไปอย่างมีนัยสำคัญ Microsoft ได้วางตำแหน่ง RD Gateway อย่างชัดเจนว่าเป็นวิธีในการให้การเข้าถึงที่เข้ารหัสผ่าน HTTPS โดยไม่ต้องเปิดพอร์ต RDP ภายใน

ความเสี่ยงของบัญชี

ความเสี่ยงของบัญชีเกี่ยวกับคุณภาพของตัวตนและสิทธิพิเศษ โฮสต์ที่ปลอดภัยจะกลายเป็นไม่ปลอดภัยอย่างรวดเร็วเมื่อการเข้าสู่ระบบระยะไกลขึ้นอยู่กับรหัสผ่านที่นำกลับมาใช้ใหม่ บัญชีผู้ดูแลระบบที่ไม่ใช้งาน หรือสิทธิ์ที่กว้างขวาง คำแนะนำการวางแผน RDS ของ Microsoft ยังคงถือว่า MFA เป็นการควบคุมหลักสำหรับการเข้าถึงระยะไกลที่ปลอดภัย โดยเฉพาะเมื่อการเข้าถึงถูกจัดการผ่าน RD Gateway

ทำไมคำตอบจึงเปลี่ยนแปลงสำหรับคอมพิวเตอร์ที่บ้าน, สถานีงานในสำนักงาน, เซิร์ฟเวอร์หรือฟาร์มและโครงสร้างพื้นฐานขนาดใหญ่?

คอมพิวเตอร์ที่บ้าน

คอมพิวเตอร์ส่วนบุคคลที่บ้านมักมีรัศมีการระเบิดที่เล็กกว่ามากกว่าระบบเซิร์ฟเวอร์ในสายการผลิต แต่โดยทั่วไปจะมีการจัดการที่น้อยกว่าอย่างเข้มงวด เราเตอร์สำหรับผู้บริโภค การเปิดพอร์ตแบบไม่เป็นทางการ รหัสผ่านในท้องถิ่นที่อ่อนแอ และการอัปเดตที่ไม่สม่ำเสมอสามารถทำให้ระบบที่บ้านมีความเสี่ยงอย่างน่าประหลาดใจ ความเสี่ยงหลักมักเกิดจากการกำหนดค่าที่ไม่ดีมากกว่าการออกแบบที่ตั้งใจในองค์กร

สถานีทำงานในสำนักงาน

สถานีทำงานในสำนักงานมักจะอยู่ภายในเครือข่ายที่มีการจัดการ แต่ไม่ได้หมายความว่าจะไม่มีความเสี่ยง หากบัญชีผู้ใช้ที่ถูกบุกรุกสามารถเข้าถึงสถานีทำงานจากระยะไกล สถานีทำงานนั้นอาจกลายเป็นจุดหมุนสำหรับการเคลื่อนที่ข้างเคียง การขโมยข้อมูล หรือการเพิ่มสิทธิ์ ในทางปฏิบัติ จุดสิ้นสุดในสำนักงานต้องการทั้งความสะอาดของจุดสิ้นสุดและนโยบายการเข้าถึงระยะไกลที่ชัดเจน

เซิร์ฟเวอร์ Windows

เซิร์ฟเวอร์ Windows มีผลกระทบสูงสุด การเข้าถึงระยะไกลไปยังไฟล์เซิร์ฟเวอร์ เซิร์ฟเวอร์แอปพลิเคชัน หรือโฮสต์เซสชัน Remote Desktop หมายความว่าผู้โจมตีอยู่ใกล้กับข้อมูลที่สำคัญ บริการที่แชร์ และเครื่องมือการจัดการ นั่นคือเหตุผลที่เซิร์ฟเวอร์ RD ที่ปลอดภัยต้องการการควบคุมตัวตนที่เข้มงวดขึ้น การเปิดเผยที่แคบลง และการควบคุมการป้องกันที่ใช้งานอยู่ที่พื้นผิวการเข้าสู่ระบบ

ฟาร์มและโครงสร้างพื้นฐานขนาดใหญ่

ในฟาร์มหรือโครงสร้างพื้นฐานการเข้าถึงระยะไกลที่ใหญ่กว่า ความเสี่ยงไม่ถูกผูกติดอยู่กับเครื่องเดียวอีกต่อไป เครื่องทำงานที่อ่อนแอเพียงเครื่องเดียว เซิร์ฟเวอร์ที่เปิดเผย หรือบัญชีผู้ดูแลระบบที่มีสิทธิ์มากเกินไปสามารถส่งผลกระทบต่อทั้งสภาพแวดล้อมที่รวมถึงแอปพลิเคชันที่เผยแพร่ เซิร์ฟเวอร์ Remote Desktop พอร์ทัลเว็บ เกตเวย์ และระบบการจัดการที่สนับสนุน สำหรับ ISVs, MSPs และทีม IT ขององค์กร ความท้าทายที่แท้จริงคือ ความสอดคล้องกันในหลายจุดสิ้นสุดและเส้นทางการเข้าถึง .

นี่เปลี่ยนคำถามด้านความปลอดภัยในสองวิธี

การเปิดเผยร่วมกัน

ก่อนอื่น ผู้ดูแลระบบต้องคิดในแง่ของการเปิดเผยร่วมกันมากกว่าการโฮสต์ที่แยกจากกัน

การควบคุมที่ปรับขนาดได้

ประการที่สอง พวกเขาต้องการการควบคุมที่สามารถปรับขนาดได้ในสภาพแวดล้อมที่หลากหลาย รวมถึงสถานีงานของผู้ใช้ เซิร์ฟเวอร์ RD ที่ปลอดภัย และระบบที่เชื่อมต่อกับอินเทอร์เน็ต

ในบริบทนั้น การปกป้องการเชื่อมต่อระยะไกลหมายถึงการทำให้มาตรฐานนโยบาย ลดพื้นผิวการโจมตีทั่วทั้งระบบ และตรวจสอบการรับรองความถูกต้องและพฤติกรรมของเซสชันจากศูนย์กลางแทนที่จะเป็นโฮสต์ต่อโฮสต์

ความเสี่ยงของจุดสิ้นสุด: โฮสต์พร้อมสำหรับการเข้าถึงระยะไกลหรือไม่?

ก่อนที่คุณจะปกป้องการเชื่อมต่อระยะไกล ให้ตรวจสอบว่าฮอสต์นั้นสมควรที่จะถูกเปิดเผยหรือไม่ เริ่มต้นด้วยการอัปเดตแพตช์ การป้องกันจุดสิ้นสุด ขอบเขตของผู้ดูแลระบบท้องถิ่น และการดูแลข้อมูลประจำตัวที่บันทึก NLA ช่วยลดการตั้งค่าช่วงที่ไม่ได้รับการตรวจสอบ แต่ไม่สามารถชดเชยเครื่องที่ดูแลไม่ดีได้ ไมโครซอฟท์ยังคงแนะนำ NLA เพราะผู้ใช้ต้องทำการตรวจสอบสิทธิ์ ก่อนที่จะมีการสร้างเซสชัน ซึ่งช่วยลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาตและจำกัดการใช้ทรัพยากรให้กับผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์

สำหรับการตรวจสอบจุดสิ้นสุดอย่างรวดเร็ว โปรดตรวจสอบรายการเหล่านี้:

1. ระบบปฏิบัติการได้รับการอัปเดตและสนับสนุนอย่างเต็มที่หรือไม่?
2. ผู้ใช้ที่จำเป็นเท่านั้นในกลุ่มผู้ใช้ Remote Desktop หรือไม่?
3. สิทธิ์ผู้ดูแลระบบท้องถิ่นถูกจำกัดหรือไม่?
4. การป้องกันจุดสิ้นสุดเปิดใช้งานและถูกตรวจสอบอยู่หรือไม่?
5. มีการตรวจสอบข้อมูลประจำตัวที่เก็บไว้ เซสชันที่บันทึกไว้ และบัญชีที่ไม่ใช้งานเป็นประจำหรือไม่?

นี่คือที่ที่ TSplus Advanced Security เหมาะสมเป็นชั้นการเสริมความแข็งแกร่งที่อยู่ด้านบน ซอฟต์แวร์ Advanced Security ของเราเป็นเครื่องมือในการรักษาความปลอดภัยให้กับเซิร์ฟเวอร์แอปพลิเคชันและ Remote Desktop จากเอกสารที่เราปรับปรุงเป็นประจำ ควรเน้นคุณสมบัติที่เกี่ยวข้องที่สุดบางประการ ได้แก่ Bruteforce Protection, Geographic Protection และ Ransomware Protection จากกระบวนการตั้งค่าเริ่มต้น

ความเสี่ยงจากการเปิดเผยเครือข่าย: ผู้โจมตีสามารถเข้าถึงพื้นผิวการเข้าสู่ระบบได้หรือไม่?

การเปิดเผยโดยตรงผ่านทางอินเทอร์เน็ต

การเปิดเผย RDP โดยตรงยังคงเป็นรูปแบบที่อันตรายที่สุด หาก TCP 3389 สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ เครื่องจะสามารถถูกค้นพบโดยเครื่องสแกนและการโจมตีแบบ brute-force ได้ CISA แนะนำองค์กรต่างๆ ให้ปิดพอร์ตและโปรโตคอลที่ไม่จำเป็นสำหรับการใช้งานทางธุรกิจ โดยระบุชื่อพอร์ต RDP 3389 ในคำแนะนำเกี่ยวกับ ransomware และภัยคุกคามหลายครั้ง

VPN, RD Gateway หรือเส้นทางการเข้าถึงที่ควบคุม

เส้นทางการเข้าถึงที่ควบคุมได้ปลอดภัยกว่าเพราะมันทำให้ประตูหน้าที่เปิดเผยแคบลง ปัจจุบันของ Microsoft ภาพรวม RDS ระบุว่า RD Gateway ให้การเข้าถึง RDP ที่ปลอดภัยและเข้ารหัสผ่าน HTTPS จากเครือข่ายภายนอกโดยไม่ต้องเปิดพอร์ต RDP ภายใน และรองรับ MFA และนโยบายเงื่อนไข นั่นเป็นโมเดลที่แข็งแกร่งกว่าการเปิดเผย RDP โดยตรงมาก

TSplus Advanced Security อยู่ที่ไหน?

TSplus Advanced Security มีประโยชน์มากที่สุดเมื่อคุณต้องการควบคุมมากขึ้นเกี่ยวกับขอบที่เปิดเผยของการเข้าถึงระยะไกลของ Windows ตั้งแต่การบล็อกแฮกเกอร์ไปจนถึงการปกป้อง Remote Desktop และเซิร์ฟเวอร์แอปพลิเคชัน ตั้งแต่การจำกัดประเทศที่อนุญาตไปจนถึงการขึ้นบัญชีดำ IP ที่เป็นศัตรู หรือการตอบสนองโดยอัตโนมัติต่อพฤติกรรมการโจมตีแบบ brute-force Advanced Security มีขอบเขตการป้องกัน 360° ตัวอย่างเช่น เอกสารออนไลน์ของเราระบุรายละเอียดเกี่ยวกับการป้องกันทางภูมิศาสตร์ที่ทำงานร่วมกับไฟร์วอลล์ในตัวของ Advanced Security ในขณะเดียวกัน Bruteforce Protection จะขึ้นบัญชีดำที่อยู่ IP ที่ทำผิดหลังจากการล้มเหลวซ้ำแล้วซ้ำเล่า

คุณต้องการการควบคุมที่เข้มงวดมากขึ้นเกี่ยวกับการเข้าถึงระยะไกลที่เปิดเผย แต่ต้องการหลีกเลี่ยงความซับซ้อนขององค์กรหรือไม่? คุณยินดีที่จะเริ่มทดลองใช้ TSplus Advanced Security ฟรีและค้นพบสิ่งที่มันสามารถทำได้ทันทีรวมถึงในอีก 15 วันข้างหน้า

ความเสี่ยงของบัญชี: ใครสามารถเข้าสู่ระบบได้ และด้วยสิทธิ์อะไร?

ข้อมูลรับรอง

ข้อมูลประจำตัวที่อ่อนแอยังคงเป็นหนึ่งในวิธีที่เร็วที่สุดในการสูญเสียการควบคุมเครื่องที่เข้าถึงได้จากระยะไกล การเข้าถึงด้วยรหัสผ่านเพียงอย่างเดียว บัญชีผู้ดูแลระบบที่แชร์ และข้อมูลประจำตัวบริการเก่าทั้งหมดทำให้การตั้งค่าที่จัดการได้กลายเป็นเป้าหมายที่น่าสนใจ แม้ว่าเมื่อการขนส่งถูกเข้ารหัส ความไม่สะอาดของข้อมูลประจำตัวก็ทำให้การออกแบบทั้งหมดอ่อนแอลง

การตรวจสอบสิทธิ์หลายปัจจัย

MFA เป็นหนึ่งในวิธีที่ชัดเจนที่สุดในการลดความเสี่ยงนั้น คำแนะนำการวางแผน RDS ของ Microsoft ยังคงมุ่งเน้นไปที่ MFA ในการทำงานของเดสก์ท็อประยะไกลที่ปลอดภัย และ TSplus 2FA ถูกออกแบบมาโดยเฉพาะเพื่อเพิ่มปัจจัยที่สองอย่างน้อยหนึ่งปัจจัยในการเข้าถึงระยะไกลที่เข้ามา

สิทธิ์น้อยที่สุด

สิทธิ์การเข้าถึงขั้นต่ำมีความสำคัญไม่แพ้กัน ในเซิร์ฟเวอร์ RD ที่ปลอดภัย สิทธิ์การเข้าสู่ระบบระยะไกลควรจำกัดเฉพาะกลุ่มที่ระบุ เซสชันผู้ดูแลระบบควรแยกออกจากการเข้าถึงของผู้ใช้ทั่วไป และบัญชีที่ไม่ใช้งานควรถูกปิดใช้งาน หากคุณไม่แน่ใจว่าใครสามารถเข้าสู่ระบบระยะไกลได้บ้าง สภาพแวดล้อมนั้นอ่อนแอกว่าที่ปรากฏอยู่แล้ว

การล็อกผู้ใช้ของอุปกรณ์

เพื่อความสบายใจเพิ่มเติม เราได้เพิ่มชั้นการป้องกันในรูปแบบของอุปกรณ์ที่เชื่อถือได้ ฟีเจอร์ความปลอดภัยของจุดสิ้นสุดนี้จะล็อกชื่อผู้ใช้กับอุปกรณ์ที่ใช้เป็นประจำ ทำให้สามารถตอบสนองได้รวดเร็วขึ้นในกรณีที่อุปกรณ์สูญหายหรือถูกขโมย

การตรวจสอบด้วยตนเอง 5 นาทีสำหรับผู้ดูแลระบบ

ทำการตรวจสอบอย่างรวดเร็วนี้ก่อนที่คุณจะสมมติว่าเครื่องนั้นปลอดภัยสำหรับ Remote Desktop:

1. พอร์ต 3389 สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะหรือไม่?
2. NLA ถูกเปิดใช้งานบนโฮสต์เป้าหมายหรือไม่?
3. การเข้าถึงระยะไกลถูกจัดการผ่าน VPN, RD Gateway หรือเส้นทางที่ควบคุมอื่น ๆ หรือไม่?
4. มีการบังคับใช้ MFA สำหรับการเข้าสู่ระบบระยะไกลหรือไม่?
5. สิทธิ์ในการเข้าสู่ระบบระยะไกลถูกจำกัดอยู่ในกลุ่มที่จำเป็นน้อยที่สุดหรือไม่?
6. TSplus Advanced Security หรือการป้องกันที่เทียบเท่า บล็อกการโจมตีแบบ brute-force และกิจกรรม IP ที่เป็นศัตรูล่ะ?
7. โฮสต์ได้รับการแพตช์ ตรวจสอบ และปราศจากบัญชีที่มีสิทธิพิเศษที่ไม่ใช้งานหรือไม่?

หากคำตอบสำหรับคำถามแรกคือใช่และอีกสามคำถามถัดไปคือไม่ ให้ถือว่าเครื่องนั้นมีความเสี่ยงสูง

สิ่งที่ควรแก้ไขก่อน

ผู้ดูแลระบบมักจะได้รับการลดความเสี่ยงที่ใหญ่ที่สุดจากลำดับ ไม่ใช่จากปริมาณ แก้ไขลำดับของการควบคุมก่อน

เริ่มต้นโดยการลดการเปิดเผยต่อสาธารณะโดยตรงให้มากที่สุดเท่าที่จะทำได้ จากนั้นให้เพิ่มความเข้มงวดในการระบุตัวตนด้วย MFA และขอบเขตการเข้าสู่ระบบที่เล็กลง หลังจากนั้นให้เสริมความแข็งแกร่งให้กับโฮสต์และเพิ่มการควบคุมการป้องกันที่ใช้งานอยู่รอบๆ พื้นที่การเข้าถึงระยะไกล

สำหรับหลาย ๆ สภาพแวดล้อมของ SMB และตลาดกลาง นั่นคือที่ที่ TSplus Advanced Security กลายเป็นทั้งที่ใช้งานได้จริงและจำเป็น ผลิตภัณฑ์นี้พัฒนาขึ้นสำหรับเซิร์ฟเวอร์การเข้าถึงระยะไกลและแอปพลิเคชันของ Windows และบทความที่เกี่ยวข้องของเราเกี่ยวกับ TSplus บน การเชื่อมต่อไซต์ระยะไกลที่ปลอดภัย ขยายความในเรื่องนี้ พร้อมอธิบายว่าทำไม Advanced Security จึงเป็นชั้นป้องกันหลักสำหรับสภาพแวดล้อมการเข้าถึงระยะไกลที่ปลอดภัย

บทสรุป: ความปลอดภัยของ Remote Desktop เริ่มต้นจากต้นน้ำ

ความปลอดภัยของคอมพิวเตอร์ของคุณจากการเข้าถึงระยะไกลขึ้นอยู่กับการตรวจสอบรอบๆ มากกว่าการเข้าถึงระยะไกลเพียงอย่างเดียว สถานะของอุปกรณ์ตัดสินว่าคอมพิวเตอร์นั้นสามารถป้องกันได้หรือไม่ การเปิดเผยเครือข่ายตัดสินว่าผู้โจมตีสามารถเข้าถึงหน้าจอการเข้าสู่ระบบได้หรือไม่ การควบคุมบัญชีตัดสินว่าการเข้าสู่ระบบที่ถูกต้องกลายเป็นเหตุการณ์สำคัญหรือไม่

ดังนั้นนี่คือคำตอบที่เป็นประโยชน์สำหรับการบริหารระบบ หากคุณต้องการปกป้องการเชื่อมต่อระยะไกลให้ดี อย่าเริ่มต้นด้วยเซสชัน เริ่มต้นจากต้นทางด้วยโฮสต์ เส้นทางการเปิดเผย และชั้นข้อมูลประจำตัว เมื่อเสร็จสิ้นแล้ว ให้บังคับใช้การตัดสินใจเหล่านั้นด้วยเครื่องมือเช่น TSplus Advanced Security และการเข้าถึงที่รองรับ MFA

เริ่มต้นวันนี้กับ ความปลอดภัยของเซิร์ฟเวอร์ IT รอบด้านที่ทำให้เรียบง่าย .