)
)
บทนำ
โปรโตคอลเดสก์ท็อประยะไกล (RDP) ยังคงเป็นส่วนสำคัญของการดำเนินงานด้าน IT แต่บ่อยครั้งถูกใช้ในทางที่ผิดโดยผู้โจมตีที่ใช้ประโยชน์จากรหัสผ่านที่อ่อนแอหรือถูกนำกลับมาใช้ใหม่ MFA ช่วยเสริมความปลอดภัยของ RDP อย่างมีนัยสำคัญ แต่หลายองค์กรไม่สามารถอนุญาตให้ใช้โทรศัพท์มือถือสำหรับการตรวจสอบสิทธิ์ได้ ข้อจำกัดนี้ปรากฏในสภาพแวดล้อมที่มีการควบคุม แยกจากกัน และมีผู้รับเหมาเป็นจำนวนมากซึ่งการใช้ MFA บนมือถือไม่สามารถทำได้ บทความนี้สำรวจวิธีการที่เป็นประโยชน์ในการบังคับใช้ MFA สำหรับ RDP โดยไม่ต้องใช้โทรศัพท์ผ่านโทเค็นฮาร์ดแวร์ โปรแกรมตรวจสอบสิทธิ์บนเดสก์ท็อป และแพลตฟอร์ม MFA ภายในองค์กร
ทำไมการเข้าถึง RDP แบบดั้งเดิมจึงต้องการการเสริมสร้าง?
การเข้าถึง RDP ที่ใช้รหัสผ่านเป็นจุดเข้าที่มีความเสี่ยงสูง
จุดสิ้นสุด RDP เป็นเป้าหมายที่น่าสนใจเพราะรหัสผ่านที่ถูกบุกรุกเพียงรหัสเดียวสามารถให้การเข้าถึงโดยตรงไปยังโฮสต์ Windows ได้ การเปิดเผยต่อสาธารณะของ RDP หรือการพึ่งพาการป้องกันเฉพาะ VPN จะเพิ่มความเสี่ยงต่อการโจมตีด้วยการใช้กำลังดันและการนำข้อมูลประจำตัวกลับมาใช้ใหม่ แม้การติดตั้ง RD Gateway ยังคงมีความเสี่ยงหากไม่มี MFA และ CISA และ Microsoft ยังคงระบุว่า RDP เป็นจุดเข้าของแรนซัมแวร์ที่พบบ่อย
Mobile MFA ไม่สามารถใช้ได้ทั่วไป
แอป MFA บนมือถือมอบความสะดวกสบาย แต่ไม่เหมาะกับทุกสภาพแวดล้อมในการดำเนินงาน เครือข่ายที่มีความปลอดภัยสูงมักห้ามโทรศัพท์โดยสิ้นเชิง ในขณะที่องค์กรที่มีข้อกำหนดด้านการปฏิบัติตามที่เข้มงวดต้องพึ่งพาอุปกรณ์การตรวจสอบสิทธิ์เฉพาะทาง ข้อจำกัดเหล่านี้ทำให้โทเค็นฮาร์ดแวร์และตัวตรวจสอบสิทธิ์ที่ใช้บนเดสก์ท็อปเป็นทางเลือกที่จำเป็นสำหรับการบังคับใช้ MFA ที่แข็งแกร่งและเชื่อถือได้ในการเข้าถึง RDP
MFA แบบไม่ใช้โทรศัพท์สำหรับ RDP: ใครต้องการและทำไม?
ข้อจำกัดด้านการดำเนินงานและความปลอดภัย จำกัด MFA บนมือถือ
หลายภาคส่วนไม่สามารถพึ่งพาโทรศัพท์มือถือสำหรับการตรวจสอบตัวตนได้เนื่องจากข้อจำกัดในการดำเนินงานหรือการควบคุมความเป็นส่วนตัว ระบบควบคุมอุตสาหกรรม การป้องกัน และสภาพแวดล้อมการวิจัยมักทำงานในสภาพแวดล้อมที่แยกจากกันซึ่งห้ามอุปกรณ์ภายนอก ผู้รับเหมาก่อสร้างที่ทำงานบนจุดสิ้นสุดที่ไม่ได้จัดการก็ไม่สามารถติดตั้งแอปพลิเคชัน MFA ของบริษัทได้ ทำให้ตัวเลือกการตรวจสอบตัวตนที่มีอยู่ถูกจำกัด
การปฏิบัติตามและการเชื่อมต่อขับเคลื่อนความต้องการที่ไม่มีโทรศัพท์
กรอบการควบคุมที่มีการกำกับดูแล เช่น PCI-DSS และ NIST SP 800-63 มักแนะนำหรือบังคับให้ใช้อุปกรณ์การพิสูจน์ตัวตนที่เฉพาะเจาะจง องค์กรที่มีการเชื่อมต่อที่อ่อนแอหรือไม่น่าเชื่อถือจะได้รับประโยชน์จาก MFA ที่ไม่ต้องใช้โทรศัพท์ เนื่องจากโทเค็นฮาร์ดแวร์และตัวตรวจสอบสิทธิ์บนเดสก์ท็อปทำงานได้อย่างเต็มที่แบบออฟไลน์ ข้อจำกัดเหล่านี้สร้างความต้องการที่แข็งแกร่งสำหรับวิธีการ MFA ทางเลือกที่ไม่พึ่งพาเทคโนโลยีมือถือ
วิธีที่ดีที่สุดสำหรับ MFA สำหรับ RDP โดยไม่ใช้โทรศัพท์คืออะไร?
ฮาร์ดแวร์โทเค็นสำหรับ RDP MFA
ฮาร์ดแวร์โทเค็นมอบการตรวจสอบสิทธิ์แบบออฟไลน์ที่ทนต่อการดัดแปลงพร้อมพฤติกรรมที่สม่ำเสมอในสภาพแวดล้อมที่ควบคุม พวกเขาขจัดการพึ่งพาอุปกรณ์ส่วนบุคคลและสนับสนุนปัจจัยที่แข็งแกร่งหลากหลาย ตัวอย่างทั่วไปได้แก่:
- โทเค็นฮาร์ดแวร์ TOTP สร้างรหัสที่อิงตามเวลาเพื่อใช้กับเซิร์ฟเวอร์ RADIUS หรือ MFA
- กุญแจ FIDO2/U2F ที่มีการรับรองการพิสูจน์ตัวตนที่ต้านทานการฟิชชิ่ง
- บัตรอัจฉริยะที่รวมกับ PKI สำหรับการตรวจสอบตัวตนที่มีความมั่นใจสูง
โทเค็นเหล่านี้รวมเข้ากับ RDP ผ่านเซิร์ฟเวอร์ RADIUS, ส่วนขยาย NPS, หรือแพลตฟอร์ม MFA ภายในองค์กรที่รองรับ OATH TOTP FIDO2 หรือการทำงานของบัตรอัจฉริยะ การติดตั้งบัตรอัจฉริยะอาจต้องการซอฟต์แวร์กลางเพิ่มเติม แต่ยังคงเป็นมาตรฐานในภาครัฐและโครงสร้างพื้นฐาน ด้วยการบังคับใช้เกตเวย์หรือเอเจนต์อย่างเหมาะสม โทเค็นฮาร์ดแวร์จะรับประกันการตรวจสอบสิทธิ์ที่แข็งแกร่งโดยไม่ต้องใช้โทรศัพท์สำหรับเซสชัน RDP
แอปพลิเคชันการตรวจสอบสิทธิ์บนเดสก์ท็อป
แอปพลิเคชัน TOTP บนเดสก์ท็อปสร้างรหัส MFA ในเครื่องโดยไม่ต้องพึ่งพาอุปกรณ์เคลื่อนที่ พวกเขามอบทางเลือกที่ใช้งานได้จริงโดยไม่ต้องใช้โทรศัพท์สำหรับผู้ใช้ที่ทำงานในสภาพแวดล้อม Windows ที่จัดการ โซลูชันทั่วไป ได้แก่:
- WinAuth, เครื่องสร้าง TOTP ขนาดเล็กสำหรับ Windows.
- Authy Desktop มีการสำรองข้อมูลที่เข้ารหัสและรองรับหลายอุปกรณ์
- KeePass พร้อมปลั๊กอิน OTP ซึ่งรวมการจัดการรหัสผ่านกับการสร้าง MFA
เครื่องมือเหล่านี้รวมเข้ากับ RDP เมื่อจับคู่กับตัวแทน MFA หรือแพลตฟอร์มที่ใช้ RADIUS ส่วนขยาย NPS ของ Microsoft ไม่รองรับโทเค็น OTP ที่ต้องป้อนรหัส ดังนั้นเซิร์ฟเวอร์ MFA ของบุคคลที่สามจึงมักจำเป็นสำหรับ RD Gateway และการเข้าสู่ระบบ Windows โดยตรง ตัวตรวจสอบบนเดสก์ท็อปมีประสิทธิภาพโดยเฉพาะในโครงสร้างพื้นฐานที่ควบคุมซึ่งนโยบายของอุปกรณ์บังคับให้มีการจัดเก็บข้อมูลการตรวจสอบสิทธิ์อย่างปลอดภัย
วิธีการใช้งาน MFA สำหรับ RDP โดยไม่ใช้โทรศัพท์?
ตัวเลือก 1: RD Gateway + NPS Extension + Hardware Tokens
องค์กรที่ใช้ RD Gateway อยู่แล้วสามารถเพิ่ม MFA ที่ไม่ต้องใช้โทรศัพท์โดยการรวมเซิร์ฟเวอร์ MFA ที่ใช้ RADIUS ที่เข้ากันได้ สถาปัตยกรรมนี้ใช้ RD Gateway สำหรับการควบคุมเซสชัน, NPS สำหรับการประเมินนโยบาย, และปลั๊กอิน MFA ของบุคคลที่สามที่สามารถประมวลผล TOTP หรือข้อมูลรับรองที่รองรับฮาร์ดแวร์ได้ เนื่องจากส่วนขยาย NPS ของ Microsoft รองรับเฉพาะ Entra MFA ที่ใช้คลาวด์ การติดตั้งที่ไม่ต้องใช้โทรศัพท์ส่วนใหญ่จึงพึ่งพาเซิร์ฟเวอร์ MFA อิสระ
โมเดลนี้บังคับใช้ MFA ก่อนที่เซสชัน RDP จะเข้าถึงโฮสต์ภายใน ซึ่งช่วยเสริมสร้างการป้องกันจากการเข้าถึงที่ไม่ได้รับอนุญาต นโยบายสามารถกำหนดเป้าหมายไปยังผู้ใช้เฉพาะ แหล่งที่มาของการเชื่อมต่อ หรือบทบาทการบริหาร แม้ว่าโครงสร้างจะซับซ้อนกว่าการเปิดเผย RDP โดยตรง แต่ก็มีข้อเสนอที่ ความปลอดภัยที่เข้มแข็ง สำหรับองค์กรที่ลงทุนใน RD Gateway แล้ว
ตัวเลือก 2: MFA ภายในองค์กรด้วยตัวแทน RDP โดยตรง
การติดตั้งตัวแทน MFA โดยตรงบนโฮสต์ Windows ช่วยให้ MFA ที่มีความยืดหยุ่นสูงและไม่ขึ้นกับคลาวด์สำหรับ RDP ตัวแทนจะดักจับการเข้าสู่ระบบและต้องการให้ผู้ใช้ยืนยันตัวตนโดยใช้โทเค็นฮาร์ดแวร์ การ์ดอัจฉริยะ หรือรหัส TOTP ที่สร้างจากเดสก์ท็อป วิธีการนี้ทำงานแบบออฟไลน์อย่างสมบูรณ์และเหมาะสำหรับสภาพแวดล้อมที่มีการแยกอากาศหรือมีข้อจำกัด
เซิร์ฟเวอร์ MFA ภายในองค์กรให้การจัดการแบบรวมศูนย์ การบังคับนโยบาย และการลงทะเบียนโทเค็น ผู้ดูแลระบบสามารถกำหนดกฎตามเวลาของวัน แหล่งที่มาของเครือข่าย ตัวตนของผู้ใช้ หรือระดับสิทธิ์ เนื่องจากการตรวจสอบสิทธิ์เป็นแบบท้องถิ่นทั้งหมด โมเดลนี้จึงรับประกันความต่อเนื่องแม้ว่าเครือข่ายอินเทอร์เน็ตจะไม่สามารถใช้งานได้
การใช้งานจริงของ MFA ที่ไม่ต้องใช้โทรศัพท์คืออะไร?
สภาพแวดล้อมที่มีการควบคุมและความปลอดภัยสูง
MFA ที่ไม่ต้องใช้โทรศัพท์เป็นเรื่องปกติในเครือข่ายที่มีการควบคุมและข้อกำหนดด้านความปลอดภัยที่เข้มงวด สภาพแวดล้อม PCI-DSS, CJIS และการดูแลสุขภาพต้องการการตรวจสอบตัวตนที่เข้มงวดโดยไม่ต้องพึ่งพาอุปกรณ์ส่วนบุคคล สถานที่ที่มีการแยกอากาศ ห้องปฏิบัติการวิจัย และเครือข่ายอุตสาหกรรมไม่สามารถอนุญาตการเชื่อมต่อภายนอกหรือการมีอยู่ของสมาร์ทโฟนได้
ผู้รับเหมา, BYOD, และสถานการณ์อุปกรณ์ที่ไม่ได้จัดการ
องค์กรที่มีผู้รับเหมาเป็นจำนวนมากหลีกเลี่ยงการใช้ MFA บนมือถือเพื่อป้องกันปัญหาการลงทะเบียนในอุปกรณ์ที่ไม่ได้จัดการ ในสถานการณ์เหล่านี้ โทเค็นฮาร์ดแวร์และตัวตรวจสอบสิทธิ์บนเดสก์ท็อปให้การตรวจสอบสิทธิ์ที่แข็งแกร่งและสม่ำเสมอโดยไม่ต้องติดตั้งซอฟต์แวร์บนอุปกรณ์ส่วนตัว
ความสอดคล้องในการดำเนินงานทั่วทั้งเวิร์กโฟลว์ที่กระจาย
หลายองค์กรนำ MFA ที่ไม่มีโทรศัพท์มาใช้เพื่อรักษากระบวนการตรวจสอบสิทธิ์ที่คาดเดาได้ในสภาพแวดล้อมที่หลากหลาย โดยเฉพาะในกรณีที่ผู้ใช้หมุนเวียนบ่อยหรือเมื่อเอกลักษณ์ต้องผูกติดกับอุปกรณ์ทางกายภาพ โทเค็นฮาร์ดแวร์และตัวตรวจสอบสิทธิ์บนเดสก์ท็อปช่วยให้การเริ่มต้นใช้งานง่ายขึ้น ปรับปรุงความสามารถในการตรวจสอบ และอนุญาตให้ทีม IT บังคับใช้มาตรฐานเดียว นโยบายด้านความปลอดภัย ทั่วทั้ง:
- ไซต์ระยะไกล
- สถานีทำงานร่วมกัน
- สถานการณ์การเข้าถึงชั่วคราว
การปฏิบัติที่ดีที่สุดในการติดตั้ง MFA โดยไม่ใช้โทรศัพท์คืออะไร?
ประเมินสถาปัตยกรรมและเลือกจุดบังคับที่เหมาะสม
องค์กรควรเริ่มต้นโดยการประเมินโทโพโลยี RDP ของตน—ไม่ว่าจะใช้ RDP โดยตรง, RD Gateway, หรือการตั้งค่าแบบไฮบริด—เพื่อกำหนดจุดบังคับที่มีประสิทธิภาพที่สุด ประเภทของโทเค็นควรได้รับการประเมินตาม:
- ความสามารถใช้งาน
- เส้นทางการกู้คืน
- ความคาดหวังด้านการปฏิบัติตามข้อกำหนด
แนะนำให้ใช้แพลตฟอร์ม MFA แบบ On-premises สำหรับสภาพแวดล้อมที่ต้องการการตรวจสอบแบบออฟไลน์และการควบคุมการจัดการทั้งหมด
บังคับ MFA อย่างมีกลยุทธ์และวางแผนสำหรับการกู้คืน
MFA ควรบังคับใช้สำหรับการเข้าถึงภายนอกและบัญชีที่มีสิทธิพิเศษเพื่อลดความเสี่ยงจากการโจมตีที่ใช้ข้อมูลประจำตัว โทเค็นสำรองและขั้นตอนการกู้คืนที่ชัดเจนช่วยป้องกันการล็อกผู้ใช้ในระหว่างการลงทะเบียนหรือการสูญเสียโทเค็น การทดสอบผู้ใช้ช่วยให้มั่นใจว่า MFA สอดคล้องกับกระบวนการทำงานและหลีกเลี่ยงความยุ่งยากที่ไม่จำเป็น
จัดการวงจรชีวิตโทเค็นและรักษาการกำกับดูแล
ทีม IT ควรวางแผนการจัดการวงจรชีวิตของโทเค็นตั้งแต่เนิ่นๆ รวมถึงการลงทะเบียน การเพิกถอน การเปลี่ยนแทน และการจัดเก็บกุญแจ TOTP seed อย่างปลอดภัย โมเดลการกำกับดูแลที่ชัดเจนช่วยให้มั่นใจว่าปัจจัย MFA ยังคงสามารถติดตามได้และสอดคล้องกับนโยบายภายใน เมื่อนำมารวมกับการตรวจสอบการเข้าถึงเป็นระยะและการทดสอบอย่างสม่ำเสมอ แนวทางปฏิบัติเหล่านี้สนับสนุนการใช้งาน MFA ที่ทนทานและไม่ต้องใช้โทรศัพท์ซึ่งปรับตัวเข้ากับความต้องการในการดำเนินงานที่เปลี่ยนแปลงไป
ทำไมการรักษาความปลอดภัย RDP โดยไม่ใช้โทรศัพท์จึงเป็นเรื่องที่สมเหตุสมผลอย่างยิ่ง?
MFA ที่ไม่ต้องใช้โทรศัพท์ตอบสนองความต้องการด้านความปลอดภัยในโลกจริง
MFA ที่ไม่ต้องใช้โทรศัพท์ไม่ใช่ตัวเลือกสำรอง แต่เป็นความสามารถที่จำเป็นสำหรับองค์กรที่มีขอบเขตการดำเนินงานหรือกฎระเบียบที่เข้มงวด โทเค็นฮาร์ดแวร์ เครื่องสร้าง TOTP บนเดสก์ท็อป กุญแจ FIDO2 และบัตรอัจฉริยะทั้งหมดให้การตรวจสอบสิทธิ์ที่แข็งแกร่งและสม่ำเสมอโดยไม่ต้องใช้สมาร์ทโฟน
การป้องกันที่แข็งแกร่งโดยไม่ซับซ้อนทางสถาปัตยกรรม
เมื่อใช้งานที่ระดับเกตเวย์หรือจุดสิ้นสุด MFA ที่ไม่ต้องใช้โทรศัพท์จะช่วยลดความเสี่ยงจากการโจมตีด้วยข้อมูลประจำตัวและความพยายามในการเข้าถึงที่ไม่ได้รับอนุญาตอย่างมีนัยสำคัญ วิธีการเหล่านี้สามารถรวมเข้ากับสถาปัตยกรรม RDP ที่มีอยู่ได้อย่างราบรื่น ทำให้เป็นทางเลือกที่ใช้งานได้จริง ปลอดภัย และสอดคล้องกับสภาพแวดล้อมสมัยใหม่
ความเสถียรในการดำเนินงานและความยั่งยืนในระยะยาว
MFA ที่ไม่ต้องใช้โทรศัพท์เสนอความเสถียรในระยะยาวโดยการกำจัดการพึ่งพาระบบปฏิบัติการมือถือ การอัปเดตแอป หรือการเปลี่ยนแปลงการเป็นเจ้าของอุปกรณ์ องค์กรยังคงควบคุมฮาร์ดแวร์การตรวจสอบสิทธิ์ได้อย่างเต็มที่ ทำให้การขยายตัวเป็นไปอย่างราบรื่นและมั่นใจได้ว่าการป้องกัน RDP ยังคงยั่งยืนโดยไม่ต้องพึ่งพาอีโคซิสเต็มมือถือภายนอก
TSplus เสริมความแข็งแกร่งให้กับ RDP MFA โดยไม่ต้องใช้โทรศัพท์ด้วย TSplus Advanced Security ได้อย่างไร?
TSplus Advanced Security เสริมการป้องกัน RDP โดยการเปิดใช้งาน MFA ที่ไม่ต้องใช้โทรศัพท์ด้วยโทเค็นฮาร์ดแวร์ การบังคับใช้ในสถานที่ และการควบคุมการเข้าถึงที่ละเอียด การออกแบบที่เบาและไม่ขึ้นกับคลาวด์เหมาะสำหรับเครือข่ายแบบไฮบริดและจำกัด ช่วยให้ผู้ดูแลระบบสามารถใช้ MFA ได้อย่างเลือกสรร ปกป้องโฮสต์หลายเครื่องได้อย่างมีประสิทธิภาพ และบังคับใช้นโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกัน ด้วยการติดตั้งที่ง่ายและการกำหนดค่าที่ยืดหยุ่น มันมอบความปลอดภัย RDP ที่แข็งแกร่งและใช้งานได้จริงโดยไม่ต้องพึ่งพาอุปกรณ์เคลื่อนที่
สรุป
การรักษาความปลอดภัย RDP โดยไม่ใช้โทรศัพท์มือถือไม่เพียงแต่เป็นไปได้ แต่ยังจำเป็นมากขึ้น ฮาร์ดแวร์โทเค็นและตัวตรวจสอบที่ตั้งอยู่บนเดสก์ท็อปเสนอวิธีการ MFA ที่เชื่อถือได้ ปฏิบัติตามกฎระเบียบ และทำงานแบบออฟไลน์ซึ่งเหมาะสำหรับสภาพแวดล้อมที่ต้องการ โดยการรวมวิธีการเหล่านี้ผ่าน RD Gateway เซิร์ฟเวอร์ MFA ภายในองค์กร หรือเอเจนต์ท้องถิ่น องค์กรสามารถเสริมสร้างความปลอดภัย RDP ของตนได้อย่างมีนัยสำคัญ ด้วยโซลูชันเช่น TSplus Advanced Security การบังคับใช้ MFA โดยไม่ใช้สมาร์ทโฟนกลายเป็นเรื่องง่าย ปรับตัวได้ และสอดคล้องกับข้อจำกัดในการดำเนินงานในโลกแห่งความเป็นจริง
)
)
)
