)
)
บทนำ
โปรโตคอลเดสก์ท็อประยะไกล (RDP) ยังคงเป็นส่วนสำคัญของการดำเนินงานด้าน IT แต่บ่อยครั้งถูกใช้ในทางที่ผิดโดยผู้โจมตีที่ใช้ประโยชน์จากรหัสผ่านที่อ่อนแอหรือถูกนำกลับมาใช้ใหม่ MFA ช่วยเสริมความปลอดภัยของ RDP อย่างมีนัยสำคัญ แต่หลายองค์กรไม่สามารถอนุญาตให้ใช้โทรศัพท์มือถือสำหรับการตรวจสอบสิทธิ์ได้ ข้อจำกัดนี้ปรากฏในสภาพแวดล้อมที่มีการควบคุม แยกจากกัน และมีผู้รับเหมาเป็นจำนวนมากซึ่งการใช้ MFA บนมือถือไม่สามารถทำได้ บทความนี้สำรวจวิธีการที่เป็นประโยชน์ในการบังคับใช้ MFA สำหรับ RDP โดยไม่ต้องใช้โทรศัพท์ผ่านโทเค็นฮาร์ดแวร์ โปรแกรมตรวจสอบสิทธิ์บนเดสก์ท็อป และแพลตฟอร์ม MFA ภายในองค์กร
ทำไมการเข้าถึง RDP แบบดั้งเดิมจึงต้องการการเสริมสร้าง
จุดสิ้นสุด RDP เป็นเป้าหมายที่น่าสนใจเพราะรหัสผ่านที่ถูกบุกรุกเพียงรหัสเดียวสามารถให้การเข้าถึงโดยตรงไปยังโฮสต์ Windows ได้ การเปิดเผย RDP การเปิดเผยต่อสาธารณะหรือการพึ่งพาการตรวจสอบสิทธิ์ VPN เพียงอย่างเดียวจะเพิ่มความเสี่ยงต่อการพยายามโจมตีแบบ brute-force และการโจมตีด้วยการนำข้อมูลประจำตัวกลับมาใช้ใหม่ การติดตั้ง RD Gateway ก็จะมีความเสี่ยงเมื่อไม่มี MFA หรือการกำหนดค่าผิดพลาด รายงานจาก CISA และ Microsoft ยังคงระบุว่าการโจมตี RDP เป็นช่องทางการเข้าถึงเริ่มต้นที่สำคัญสำหรับกลุ่มแรนซัมแวร์
แอป MFA บนมือถือให้ความสะดวกสบาย แต่ไม่เหมาะกับทุกสภาพแวดล้อม เครือข่ายที่มีความปลอดภัยสูงมักห้ามโทรศัพท์โดยสิ้นเชิง และองค์กรที่มีกฎระเบียบการปฏิบัติตามที่เข้มงวดต้องพึ่งพาอุปกรณ์ยืนยันตัวตนเฉพาะทาง ข้อจำกัดเหล่านี้ทำให้โทเค็นฮาร์ดแวร์และตัวตรวจสอบที่ใช้บนเดสก์ท็อปเป็นทางเลือกที่จำเป็น
MFA ที่ไม่ต้องใช้โทรศัพท์สำหรับ RDP: ใครต้องการและทำไม
หลายภาคส่วนไม่สามารถพึ่งพาโทรศัพท์มือถือสำหรับการตรวจสอบตัวตนได้เนื่องจากข้อจำกัดในการดำเนินงานหรือการควบคุมความเป็นส่วนตัว ระบบควบคุมอุตสาหกรรม การป้องกัน และสภาพแวดล้อมการวิจัยมักทำงานในสภาวะที่แยกจากกันซึ่งห้ามอุปกรณ์ภายนอก ผู้รับเหมาก่อสร้างที่ทำงานบนจุดสิ้นสุดที่ไม่ได้จัดการก็ไม่สามารถติดตั้งแอป MFA ของบริษัทได้ ทำให้ตัวเลือกการตรวจสอบตัวตนที่มีอยู่มีจำกัด
กรอบการควบคุมที่มีการกำกับดูแล เช่น PCI-DSS และ NIST SP 800-63 มักแนะนำหรือบังคับให้ใช้อุปกรณ์การพิสูจน์ตัวตนที่เฉพาะเจาะจง องค์กรที่มีการเชื่อมต่อที่อ่อนแอหรือไม่เชื่อถือได้ยังได้รับประโยชน์จาก MFA ที่ไม่ต้องใช้โทรศัพท์ เนื่องจากโทเค็นฮาร์ดแวร์และแอปพลิเคชันเดสก์ท็อปทำงานได้อย่างเต็มที่แบบออฟไลน์ ปัจจัยเหล่านี้สร้างความต้องการที่แข็งแกร่งสำหรับวิธีการ MFA ทางเลือกที่ไม่พึ่งพาเทคโนโลยีมือถือ
วิธีที่ดีที่สุดสำหรับ MFA สำหรับ RDP โดยไม่ใช้โทรศัพท์
ฮาร์ดแวร์โทเค็นสำหรับ RDP MFA
ฮาร์ดแวร์โทเค็นมอบการตรวจสอบสิทธิ์แบบออฟไลน์ที่ทนต่อการดัดแปลงพร้อมพฤติกรรมที่สม่ำเสมอในสภาพแวดล้อมที่ควบคุม พวกเขาขจัดการพึ่งพาอุปกรณ์ส่วนบุคคลและสนับสนุนปัจจัยที่แข็งแกร่งหลากหลาย ตัวอย่างทั่วไปได้แก่:
- โทเค็นฮาร์ดแวร์ TOTP สร้างรหัสที่อิงตามเวลาเพื่อใช้กับเซิร์ฟเวอร์ RADIUS หรือ MFA
- กุญแจ FIDO2/U2F ที่มีการรับรองการพิสูจน์ตัวตนที่ต้านทานการฟิชชิ่ง
- บัตรอัจฉริยะที่รวมกับ PKI สำหรับการตรวจสอบตัวตนที่มีความมั่นใจสูง
โทเค็นเหล่านี้รวมเข้ากับ RDP ผ่านเซิร์ฟเวอร์ RADIUS, ส่วนขยาย NPS, หรือแพลตฟอร์ม MFA ภายในองค์กรที่รองรับ OATH TOTP FIDO2 หรือการทำงานของบัตรอัจฉริยะ การติดตั้งบัตรอัจฉริยะอาจต้องการซอฟต์แวร์กลางเพิ่มเติม แต่ยังคงเป็นมาตรฐานในภาครัฐและโครงสร้างพื้นฐาน ด้วยการบังคับใช้เกตเวย์หรือเอเจนต์อย่างเหมาะสม โทเค็นฮาร์ดแวร์จะรับประกันการตรวจสอบสิทธิ์ที่แข็งแกร่งโดยไม่ต้องใช้โทรศัพท์สำหรับเซสชัน RDP
แอปพลิเคชันการตรวจสอบสิทธิ์บนเดสก์ท็อป
แอปพลิเคชัน TOTP บนเดสก์ท็อปสร้างรหัส MFA ในเครื่องโดยไม่ต้องพึ่งพาอุปกรณ์เคลื่อนที่ พวกเขามอบทางเลือกที่ใช้งานได้จริงโดยไม่ต้องใช้โทรศัพท์สำหรับผู้ใช้ที่ทำงานในสภาพแวดล้อม Windows ที่จัดการ โซลูชันทั่วไป ได้แก่:
- WinAuth, เครื่องสร้าง TOTP ขนาดเล็กสำหรับ Windows.
- Authy Desktop มีการสำรองข้อมูลที่เข้ารหัสและรองรับหลายอุปกรณ์
- KeePass พร้อมปลั๊กอิน OTP ซึ่งรวมการจัดการรหัสผ่านกับการสร้าง MFA
เครื่องมือเหล่านี้รวมเข้ากับ RDP เมื่อจับคู่กับตัวแทน MFA หรือแพลตฟอร์มที่ใช้ RADIUS ส่วนขยาย NPS ของ Microsoft ไม่รองรับโทเค็น OTP ที่ต้องป้อนรหัส ดังนั้นเซิร์ฟเวอร์ MFA ของบุคคลที่สามจึงมักจำเป็นสำหรับ RD Gateway และการเข้าสู่ระบบ Windows โดยตรง ตัวตรวจสอบบนเดสก์ท็อปมีประสิทธิภาพโดยเฉพาะในโครงสร้างพื้นฐานที่ควบคุมซึ่งนโยบายของอุปกรณ์บังคับให้มีการจัดเก็บข้อมูลการตรวจสอบสิทธิ์อย่างปลอดภัย
วิธีการใช้งาน MFA สำหรับ RDP โดยไม่ใช้โทรศัพท์?
ตัวเลือก 1: RD Gateway + NPS Extension + Hardware Tokens
องค์กรที่ใช้ RD Gateway อยู่แล้วสามารถเพิ่ม MFA ที่ไม่ต้องใช้โทรศัพท์โดยการรวมเซิร์ฟเวอร์ MFA ที่ใช้ RADIUS ที่เข้ากันได้ สถาปัตยกรรมนี้ใช้ RD Gateway สำหรับการควบคุมเซสชัน, NPS สำหรับการประเมินนโยบาย, และปลั๊กอิน MFA ของบุคคลที่สามที่สามารถประมวลผล TOTP หรือข้อมูลรับรองที่รองรับฮาร์ดแวร์ได้ เนื่องจากส่วนขยาย NPS ของ Microsoft รองรับเฉพาะ Entra MFA ที่ใช้คลาวด์ การติดตั้งที่ไม่ต้องใช้โทรศัพท์ส่วนใหญ่จึงพึ่งพาเซิร์ฟเวอร์ MFA อิสระ
โมเดลนี้บังคับใช้ MFA ก่อนที่เซสชัน RDP จะเข้าถึงโฮสต์ภายใน ซึ่งช่วยเสริมสร้างการป้องกันจากการเข้าถึงที่ไม่ได้รับอนุญาต นโยบายสามารถกำหนดเป้าหมายไปยังผู้ใช้เฉพาะ แหล่งที่มาของการเชื่อมต่อ หรือบทบาทการบริหาร แม้ว่าโครงสร้างจะซับซ้อนกว่าการเปิดเผย RDP โดยตรง แต่ก็มีข้อเสนอที่ ความปลอดภัยที่เข้มแข็ง สำหรับองค์กรที่ลงทุนใน RD Gateway แล้ว
ตัวเลือก 2: MFA ภายในองค์กรด้วยตัวแทน RDP โดยตรง
การติดตั้งตัวแทน MFA โดยตรงบนโฮสต์ Windows ช่วยให้ MFA ที่มีความยืดหยุ่นสูงและไม่ขึ้นกับคลาวด์สำหรับ RDP ตัวแทนจะดักจับการเข้าสู่ระบบและต้องการให้ผู้ใช้ยืนยันตัวตนโดยใช้โทเค็นฮาร์ดแวร์ การ์ดอัจฉริยะ หรือรหัส TOTP ที่สร้างจากเดสก์ท็อป วิธีการนี้ทำงานแบบออฟไลน์อย่างสมบูรณ์และเหมาะสำหรับสภาพแวดล้อมที่มีการแยกอากาศหรือมีข้อจำกัด
เซิร์ฟเวอร์ MFA ภายในองค์กรให้การจัดการแบบรวมศูนย์ การบังคับนโยบาย และการลงทะเบียนโทเค็น ผู้ดูแลระบบสามารถกำหนดกฎตามเวลาของวัน แหล่งที่มาของเครือข่าย ตัวตนของผู้ใช้ หรือระดับสิทธิ์ เนื่องจากการตรวจสอบสิทธิ์เป็นแบบท้องถิ่นทั้งหมด โมเดลนี้จึงรับประกันความต่อเนื่องแม้ว่าเครือข่ายอินเทอร์เน็ตจะไม่สามารถใช้งานได้
กรณีการใช้งานจริงสำหรับ MFA โดยไม่ใช้โทรศัพท์
MFA ที่ไม่ต้องใช้โทรศัพท์เป็นเรื่องปกติในเครือข่ายที่มีการควบคุมและข้อกำหนดด้านความปลอดภัยที่เข้มงวด สภาพแวดล้อม PCI-DSS, CJIS และการดูแลสุขภาพต้องการการตรวจสอบตัวตนที่เข้มงวดโดยไม่ต้องพึ่งพาอุปกรณ์ส่วนบุคคล สถานที่ที่มีการแยกอากาศ ห้องปฏิบัติการวิจัย และเครือข่ายอุตสาหกรรมไม่สามารถอนุญาตการเชื่อมต่อภายนอกหรือการมีอยู่ของสมาร์ทโฟนได้
องค์กรที่มีผู้รับเหมาก่อสร้างหลีกเลี่ยงการใช้ MFA บนมือถือเพื่อป้องกันปัญหาการลงทะเบียนในอุปกรณ์ที่ไม่ได้จัดการ ในทุกสถานการณ์เหล่านี้ โทเค็นฮาร์ดแวร์และตัวตรวจสอบสิทธิ์บนเดสก์ท็อปให้การตรวจสอบสิทธิ์ที่แข็งแกร่งและสม่ำเสมอ
หลายองค์กรยังนำ MFA ที่ไม่มีโทรศัพท์มาใช้เพื่อรักษากระบวนการตรวจสอบสิทธิ์ที่คาดเดาได้ในสภาพแวดล้อมที่หลากหลาย โดยเฉพาะในกรณีที่ผู้ใช้หมุนเวียนบ่อยหรือเมื่อเอกลักษณ์ต้องผูกติดกับอุปกรณ์ทางกายภาพ โทเค็นฮาร์ดแวร์และตัวตรวจสอบสิทธิ์บนเดสก์ท็อปช่วยลดการพึ่งพาอุปกรณ์ส่วนบุคคล ทำให้การเริ่มต้นใช้งานง่ายขึ้น และปรับปรุงความสามารถในการตรวจสอบ.
ความสอดคล้องนี้ช่วยให้ทีม IT สามารถบังคับใช้มาตรฐานเดียวกันได้ นโยบายด้านความปลอดภัย แม้ในขณะที่ทำงานข้ามสถานที่ระยะไกล, สถานีงานที่ใช้ร่วมกัน, หรือสถานการณ์การเข้าถึงชั่วคราว.
แนวทางที่ดีที่สุดในการติดตั้ง MFA โดยไม่ใช้โทรศัพท์
องค์กรควรเริ่มต้นโดยการประเมินโทโพโลยี RDP ของตน—ไม่ว่าจะใช้ RDP โดยตรง, RD Gateway, หรือการตั้งค่าแบบไฮบริด—เพื่อกำหนดจุดบังคับที่มีประสิทธิภาพที่สุด พวกเขาควรประเมินประเภทของโทเค็นตามการใช้งาน, เส้นทางการกู้คืน, และความคาดหวังด้านการปฏิบัติตาม กำหนด MFA บนสถานที่แนะนำสำหรับสภาพแวดล้อมที่ต้องการการตรวจสอบแบบออฟไลน์และการควบคุมการบริหารจัดการอย่างสมบูรณ์
MFA ควรบังคับใช้ในระดับอย่างน้อยสำหรับการเข้าถึงภายนอกและบัญชีที่มีสิทธิพิเศษ โทเค็นสำรองและขั้นตอนการกู้คืนที่กำหนดช่วยป้องกันการล็อกเอาต์ในระหว่างปัญหาการลงทะเบียน การทดสอบผู้ใช้ช่วยให้มั่นใจว่า MFA สอดคล้องกับความต้องการในการดำเนินงานและหลีกเลี่ยงความยุ่งยากที่ไม่จำเป็นในกระบวนการทำงานประจำวัน
ทีม IT ควรวางแผนการจัดการวงจรชีวิตของโทเค็นตั้งแต่เนิ่นๆ รวมถึงการลงทะเบียน การเพิกถอน การเปลี่ยนแทน และการจัดเก็บกุญแจเริ่มต้นอย่างปลอดภัยเมื่อใช้ TOTP การสร้างโมเดลการกำกับดูแลที่ชัดเจนช่วยให้ปัจจัย MFA ยังคงสามารถติดตามได้และสอดคล้องกับนโยบายภายใน การรวมกับการตรวจสอบการเข้าถึงเป็นระยะและการทดสอบอย่างสม่ำเสมอ มาตรการเหล่านี้ช่วยรักษาการใช้งาน MFA ที่ทนทานและไม่ต้องใช้โทรศัพท์ซึ่งยังคงสอดคล้องกับความต้องการในการดำเนินงานที่พัฒนาไปเรื่อยๆ
ทำไมการรักษาความปลอดภัย RDP โดยไม่ใช้โทรศัพท์จึงเป็นเรื่องที่สมเหตุสมผลทั้งหมด
MFA ที่ไม่ต้องใช้โทรศัพท์มือถือไม่ใช่ตัวเลือกสำรอง—มันเป็นความสามารถที่จำเป็นสำหรับองค์กรที่มีขอบเขตการดำเนินงานหรือกฎระเบียบที่เข้มงวด โทเค็นฮาร์ดแวร์, เครื่องสร้าง TOTP บนเดสก์ท็อป, กุญแจ FIDO2 และการ์ดอัจฉริยะทั้งหมดให้การตรวจสอบสิทธิ์ที่แข็งแกร่งและสม่ำเสมอโดยไม่ต้องใช้สมาร์ทโฟน
เมื่อใช้ที่ระดับเกตเวย์หรือจุดสิ้นสุด วิธีการเหล่านี้จะช่วยลดการเปิดเผยต่อการโจมตีด้วยข้อมูลประจำตัวและความพยายามในการเข้าถึงที่ไม่ได้รับอนุญาตอย่างมีนัยสำคัญ ซึ่งทำให้ MFA ที่ไม่ต้องใช้โทรศัพท์เป็นทางเลือกที่ปฏิบัติได้ ปลอดภัย และสอดคล้องกับสภาพแวดล้อม RDP สมัยใหม่
MFA ที่ไม่ต้องใช้โทรศัพท์ยังมอบความเสถียรในการดำเนินงานในระยะยาว เนื่องจากมันขจัดการพึ่งพาระบบปฏิบัติการมือถือ การอัปเดตแอป หรือการเปลี่ยนแปลงการเป็นเจ้าของอุปกรณ์ องค์กรจะได้รับการควบคุมฮาร์ดแวร์การตรวจสอบสิทธิ์อย่างเต็มที่ ลดความแปรปรวนและลดโอกาสในการเกิดปัญหาที่ฝั่งผู้ใช้
เมื่อโครงสร้างพื้นฐานขยายตัวหรือหลากหลาย ความเป็นอิสระนี้ช่วยให้การเปิดตัวเป็นไปอย่างราบรื่นและรับประกันว่าการป้องกัน RDP ที่แข็งแกร่งยังคงยั่งยืนโดยไม่ต้องพึ่งพาอีโคซิสเต็มมือถือภายนอก
วิธีที่ TSplus เสริมสร้าง RDP MFA โดยไม่ใช้โทรศัพท์ด้วย TSplus Advanced Security
TSplus Advanced Security เสริมการป้องกัน RDP โดยการเปิดใช้งาน MFA ที่ไม่ต้องใช้โทรศัพท์ด้วยโทเค็นฮาร์ดแวร์ การบังคับใช้ในสถานที่ และการควบคุมการเข้าถึงที่ละเอียด การออกแบบที่เบาและไม่ขึ้นกับคลาวด์เหมาะสำหรับเครือข่ายแบบไฮบริดและจำกัด ช่วยให้ผู้ดูแลระบบสามารถใช้ MFA ได้อย่างเลือกสรร ปกป้องโฮสต์หลายเครื่องได้อย่างมีประสิทธิภาพ และบังคับใช้นโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกัน ด้วยการติดตั้งที่ง่ายและการกำหนดค่าที่ยืดหยุ่น มันมอบความปลอดภัย RDP ที่แข็งแกร่งและใช้งานได้จริงโดยไม่ต้องพึ่งพาอุปกรณ์เคลื่อนที่
สรุป
การรักษาความปลอดภัย RDP โดยไม่ใช้โทรศัพท์มือถือไม่เพียงแต่เป็นไปได้ แต่ยังจำเป็นมากขึ้น ฮาร์ดแวร์โทเค็นและตัวตรวจสอบที่ตั้งอยู่บนเดสก์ท็อปเสนอวิธีการ MFA ที่เชื่อถือได้ ปฏิบัติตามกฎระเบียบ และทำงานแบบออฟไลน์ซึ่งเหมาะสำหรับสภาพแวดล้อมที่ต้องการ โดยการรวมวิธีการเหล่านี้ผ่าน RD Gateway เซิร์ฟเวอร์ MFA ภายในองค์กร หรือเอเจนต์ท้องถิ่น องค์กรสามารถเสริมสร้างความปลอดภัย RDP ของตนได้อย่างมีนัยสำคัญ ด้วยโซลูชันเช่น TSplus Advanced Security การบังคับใช้ MFA โดยไม่ใช้สมาร์ทโฟนกลายเป็นเรื่องง่าย ปรับตัวได้ และสอดคล้องกับข้อจำกัดในการดำเนินงานในโลกแห่งความเป็นจริง
)
)
)
