Gusto mo bang makita ang site sa ibang wika?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Palitan ang wika
Laman ng Nilalaman
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Bakit Nangangailangan ng Malakas na Seguridad ang mga Remote Desktop?

Ang Remote Desktop ay hindi awtomatikong hindi ligtas, ngunit, tulad ng anumang paraan ng remote connection, hindi ito kailanman mas ligtas kaysa sa sistema sa paligid nito. Para sa mga system administrator, ang tamang tanong ay hindi kung ang Remote Desktop ay ligtas sa abstract. Ang tamang tanong ay kung ang endpoint, ang landas ng network exposure at ang mga kontrol sa account ay sapat na malakas upang suportahan ito.

Mahalaga ang pag-frame na ito dahil ang kasalukuyang patnubay ng Microsoft ay nakatuon pa rin sa ligtas na Remote Desktop sa paligid ng Network Level Authentication (NLA), RD Gateway, TLS certificates at MFA sa halip na sa direktang pampublikong pagkakalantad. Kaugnay nito, CISA at ang katulad na patnubay ay patuloy na nagtutulak sa mga organisasyon na huwag paganahin ang hindi nagagamit na RDP access, limitahan ang mga mapanganib na serbisyo at ipatupad ang MFA dahil ang nakalantad na remote access ay nananatiling karaniwang daan ng paglusob. Gayunpaman, sa tingin namin ay may higit pang dapat gawin.

Alin sa Tatlong Paunang Suri ang Tumutukoy sa Panganib ng Remote Desktop?

Panganib ng endpoint

Ang panganib ng endpoint ay ang kondisyon ng mismong makina. Ang isang ganap na na-patch na Windows workstation na may modernong endpoint protection, limitadong karapatan ng admin at kontroladong pag-uugali ng sesyon ay nasa isang napaka-ibang posisyon kumpara sa isang tumatandang server na may malawak na lokal na access ng admin at luma na mga kredensyal. Nagsisimula ang secure na remote desktops sa isang host na maaaring ipagtanggol bago magsimula ang anumang remote session.

Panganib ng pagkakalantad ng network

Ang panganib ng pagkakalantad sa network ay tungkol sa kakayahang maabot. Kung ang isang login surface ay maaabot nang direkta mula sa internet, ang makina ay nalantad sa pag-scan, paghuhula ng password at mga pagtatangkang pagsasamantala. Kung ang parehong host ay naa-access lamang sa pamamagitan ng VPN, isang RD Gateway o isang mahigpit na pinamamahalaang access layer, ang panganib ay nagbabago nang malaki. Tinatakda ng Microsoft nang tahasan ang RD Gateway bilang isang paraan upang magbigay ng naka-encrypt na access sa pamamagitan ng HTTPS nang hindi binubuksan ang mga panloob na RDP port.

Panganib ng account

Ang panganib sa account ay tungkol sa kalidad ng pagkakakilanlan at pribilehiyo. Ang isang secure na host ay nagiging hindi secure nang mabilis kapag ang mga remote logon ay umaasa sa mga muling ginamit na password, mga dormant na admin account, o malawak na mga karapatan. Ang patnubay sa pagpaplano ng RDS ng Microsoft ay patuloy na itinuturing ang MFA bilang isang pangunahing kontrol para sa secure na remote access, lalo na kapag ang access ay pinamamahalaan sa pamamagitan ng RD Gateway.

Bakit Nagbabago ang Sagot para sa isang Home PC, Office Workstation, Server o Farm at Mas Malaking Inprastruktura?

Mga PC sa Bahay

Ang isang home PC ay karaniwang may mas maliit na blast radius kaysa sa isang production server, ngunit madalas itong pinamamahalaan nang hindi gaanong mahigpit. Ang mga consumer router, hindi pormal na port forwarding, mahihinang lokal na password at hindi pare-parehong pag-patch ay maaaring magdulot ng hindi inaasahang exposure sa isang home system. Ang pangunahing panganib ay madalas na masamang configuration kaysa sa sinadyang disenyo ng enterprise.

Mga istasyon ng trabaho sa opisina

Isang workstation sa opisina ay karaniwang nasa loob ng isang pinamamahalaang network, ngunit hindi nito inaalis ang panganib. Kung ang isang nakompromisong user account ay makakaabot sa workstation nang malayuan, ang workstation ay maaaring maging isang pivot point para sa lateral movement, pagnanakaw ng data o pagtaas ng pribilehiyo. Sa praktika, ang mga endpoint ng opisina ay nangangailangan ng parehong kalinisan ng endpoint at malinaw na patakaran sa remote access.

Windows servers

Ang isang Windows server ay may pinakamataas na kahihinatnan. Ang remote access sa isang file server, application server, o Remote Desktop Session Host ay nangangahulugang ang umaatake ay mas malapit sa kritikal na data, ibinabahaging serbisyo at mga kasangkapan sa administrasyon. Iyon ang dahilan kung bakit ang mga secure na RD server ay nangangailangan ng mas mahigpit na kontrol sa pagkakakilanlan, mas makitid na exposure at aktibong mga kontrol sa depensa sa login surface.

Mga bukirin at mas malalaking imprastruktura

Sa isang farm o mas malaking imprastruktura ng remote access, ang panganib ay hindi na nakatali sa isang makina lamang. Ang isang mahina na workstation, isang nakalantad na server o isang sobrang pinahintulutang admin account ay maaaring makaapekto sa isang buong kapaligiran na kinabibilangan ng mga na-publish na aplikasyon, mga server ng Remote Desktop, mga web portal, mga gateway at mga sumusuportang sistema ng pamamahala. Para sa mga ISV, MSP at mga koponan ng IT ng enterprise, ang tunay na hamon ay konsistensi sa maraming endpoint at mga daan ng pag-access .

Binabago nito ang tanong sa seguridad sa dalawang paraan.

Ibinahaging pagkakalantad

Una, ang mga administrador ay dapat mag-isip sa mga tuntunin ng pinagsamang pagkakalantad sa halip na mga nakahiwalay na host.

Nababagong mga kontrol

Pangalawa, kailangan nila ng mga kontrol na umaangkop sa magkakaibang kapaligiran, kabilang ang mga workstation ng gumagamit, secure na RD server at mga sistemang nakaharap sa internet.

Sa kontekstong iyon, ang pagprotekta sa mga remote na koneksyon ay nangangahulugang pag-standardize ng patakaran, pagbabawas ng atake sa buong ari-arian, at sentralisadong pagmamanman ng pag-authenticate at pag-uugali ng sesyon sa halip na isa-isang host.

Endpoint Risk: Handa na ba ang Host para sa Remote Access?

Bago mo protektahan ang mga remote na koneksyon, tiyakin na ang host ay karapat-dapat na mailantad. Magsimula sa pag-patch ng cadence, proteksyon ng endpoint, saklaw ng lokal na administrator at kalinisan ng mga nakasave na kredensyal. Nakakatulong ang NLA na bawasan ang hindi awtorisadong pag-set up ng session, ngunit hindi ito nakakapagpabawi para sa isang masamang pinananatiling makina. Patuloy na inirerekomenda ng Microsoft ang NLA dahil ang mga gumagamit ay nag-aauthenticate. bago maitatag ang isang sesyon na binabawasan ang panganib ng hindi awtorisadong pag-access at nililimitahan ang pangako ng mapagkukunan sa mga awtorisadong gumagamit.

Para sa mabilis na pagsusuri ng endpoint, suriin ang mga item na ito:

  1. Ang OS ba ay ganap na na-update at sinusuportahan?
  2. Kailangan bang mga gumagamit lamang na kinakailangan sa grupo ng mga Gumagamit ng Remote Desktop?
  3. Naka-restrikto ba ang mga lokal na karapatan ng admin?
  4. Aktibo at minomonitor ba ang proteksyon ng endpoint?
  5. Regular bang nire-review ang mga naka-cache na kredensyal, mga na-save na sesyon at mga dormant na account?

Ito rin ang lugar kung saan ang TSplus Advanced Security ay angkop bilang isang upstream hardening layer. Ang aming Advanced Security software ay isang toolbox upang secure ang application servers at Remote Desktop. Mula sa aming regular na na-update na dokumentasyon, mahalagang itampok ang ilang mga pinaka-mahahalagang tampok, lalo na ang Bruteforce Protection, Geographic Protection at Ransomware Protection, mula sa paunang daloy ng configuration.

Panganib ng Pagkalantad ng Network: Maabot ba ng mga Umaatake ang Login Surface?

Direktang pagkakalantad sa internet

Ang direktang pagkakalantad ng RDP ay nananatiling pinaka-mapanganib na karaniwang pattern. Kung ang TCP 3389 ay maaabot mula sa pampublikong internet, ang makina ay nagiging madali para sa mga scanner at brute-force na trapiko. Paulit-ulit na pinapayuhan ng CISA ang mga organisasyon na huwag paganahin ang mga port at protocol na hindi kinakailangan para sa paggamit sa negosyo, na tahasang binanggit ang RDP port 3389 sa maraming ransomware at banta na mga abiso.

VPN, RD Gateway o kontroladong access path

Mas ligtas ang isang kontroladong daan ng pag-access dahil pinapaliit nito ang nakalantad na pintuan. Ang kasalukuyan ng Microsoft Pangkalahatang-ideya ng RDS nagsasaad na ang RD Gateway ay nagbibigay ng secure, encrypted na RDP access sa pamamagitan ng HTTPS mula sa mga panlabas na network nang hindi binubuksan ang mga panloob na RDP port, at sinusuportahan nito ang MFA at mga kondisyunal na patakaran. Ito ay isang mas malakas na modelo kaysa sa direktang pag-expose ng RDP.

Saan nababagay ang TSplus Advanced Security?

TSplus Advanced Security ay pinaka-kapaki-pakinabang kapag kailangan mo ng higit na kontrol sa nakalantad na gilid ng Windows remote access. Mula sa pag-block ng mga hacker hanggang sa pagprotekta sa Remote Desktop at mga application server, mula sa pag-restrict ng mga pinapayagang bansa hanggang sa pag-blacklist ng mga mapanlikhang IP, o sa awtomatikong pagtugon sa mga pag-uugali ng brute-force, ang Advanced Security ay may 360° na saklaw ng proteksyon. Halimbawa, ang aming online na dokumentasyon ay partikular na naglalarawan ng Geographic Protection na nagtatrabaho kasama ang built-in na firewall ng Advanced Security. Samantala, ang Bruteforce Protection ay awtomatikong nagba-blacklist ng mga nagkasalang IP address pagkatapos ng paulit-ulit na pagkabigo.

Kailangan mo ba ng mas malakas na kontrol sa nakalantad na remote access ngunit nais na iwasan ang pagdagdag ng kumplikadong enterprise? Malugod kang inaanyayahan na simulan ang iyong libreng pagsubok ng TSplus Advanced Security at tuklasin kung ano ang maaari nitong gawin agad pati na rin sa susunod na 15 araw.

Account Risk: Sino ang Maaaring Mag-Log In, at Sa Anong Pribilehiyo?

Kredensyal

Ang mahihinang kredensyal ay isa pa ring pinakamabilis na paraan upang mawalan ng kontrol sa isang machine na maaaring ma-access nang malayo. Ang access na nakabatay lamang sa password, mga ibinahaging admin account, at mga lumang kredensyal ng serbisyo ay nagiging kaakit-akit na target ang isang maayos na setup. Kahit na ang transportasyon ay naka-encrypt, ang mahihirap na pamamahala ng pagkakakilanlan ay sumisira sa buong disenyo.

Maramihang salik na pagpapatunay

Ang MFA ay isa sa mga pinakalinaw na paraan upang mabawasan ang panganib na iyon. Ang gabay sa pagpaplano ng RDS ng Microsoft ay patuloy na nakatuon sa MFA sa mga secure na remote desktop workflows, at ang TSplus 2FA ay dinisenyo partikular upang magdagdag ng hindi bababa sa pangalawang salik sa mga papasok na remote access.

Pinakamababang pribilehiyo

Mahalaga ang pinakamababang pribilehiyo. Sa mga secure na RD server, ang mga karapatan sa remote login ay dapat limitahan sa mga tinukoy na grupo, ang mga admin session ay dapat hiwalay mula sa karaniwang pag-access ng gumagamit, at ang mga dormant na account ay dapat i-disable. Kung hindi mo alam kung sino ang maaaring mag-login nang remote, ang kapaligiran ay mas mahina kaysa sa inaasahan.

Pag-lock ng device-user

Para sa karagdagang kapanatagan, nagbigay kami ng karagdagang antas ng proteksyon sa anyo ng Trusted Devices. Ang tampok na seguridad ng endpoint na ito ay naglalock ng username sa karaniwang device nito, na nagpapahintulot sa mas mabilis na pagtugon sa kaganapan ng pagkawala o pagnanakaw nito.

5-Minutong Pagsusuri para sa mga Sysadmin

Gawin ang mabilis na pagsusuring ito bago mo ipalagay na ligtas ang isang makina para sa Remote Desktop:

  1. Naaabot ba ang port 3389 mula sa pampublikong internet?
  2. Naka-enable ba ang NLA sa target na host?
  3. Ang remote access ba ay pinamamahalaan sa pamamagitan ng VPN, RD Gateway o ibang kontroladong daan?
  4. Is MFA enforced for remote logins?
  5. Ang mga karapatan sa remote login ba ay limitado sa pinakamaliit na kinakailangang grupo?
  6. Is TSplus Advanced Security o katumbas na proteksyon pagharang sa brute-force at aktibidad ng mga mapanganib na IP?
  7. Ang host ba ay na-update, minomonitor at walang mga luma o hindi na ginagamit na pribilehiyadong account?

Kung ang sagot sa unang tanong ay oo at ang susunod na tatlo ay hindi, ituring ang makina bilang mataas na panganib.

Ano ang Dapat Ayusin Una

Karaniwang nakakakuha ang mga system administrator ng pinakamalaking pagbawas sa panganib mula sa pagkakasunod-sunod, hindi mula sa dami. Ayusin muna ang pagkakasunod-sunod ng mga kontrol.

Simulan sa pamamagitan ng pagtanggal ng direktang pampublikong exposure kung saan posible. Pagkatapos ay higpitan ang pagkakakilanlan gamit ang MFA at mas maliit na saklaw ng pag-login. Pagkatapos nito, patatagin ang host at magdagdag ng mga aktibong depensibong kontrol sa paligid ng remote access surface.

Para sa maraming SMB at midmarket na kapaligiran, dito nagiging praktikal at mahalaga ang TSplus Advanced Security. Ang produkto ay binuo para sa Windows remote access at application servers, at ang aming kaugnay na artikulo sa TSplus tungkol sa secure remote site connectivity pinalawak ito, na nagbibigay-linaw kung bakit ang Advanced Security ang pangunahing proteksyon para sa mga ligtas na kapaligiran ng remote access.

Konklusyon: Nagsisimula ang Seguridad ng Remote Desktop sa Itaas

Kung gaano kasigurado ang iyong computer mula sa remote desktop ay nakasalalay hindi lamang sa Remote Desktop kundi pati na rin sa mga pagsusuri sa paligid nito. Ang postura ng endpoint ang nagtatakda kung ang makina ay maipagtanggol. Ang pagkakalantad ng network ang nagtatakda kung ang mga umaatake ay makararating sa login surface. Ang kontrol sa account ang nagtatakda kung ang isang wastong pag-login ay nagiging isang malaking insidente.

Ganyan ang praktikal na sagot para sa pamamahala ng sistema. Kung nais mong protektahan ang mga remote na koneksyon nang maayos, huwag magsimula sa sesyon. Magsimula sa itaas kasama ang host, ang landas ng pagkakalantad at ang layer ng pagkakakilanlan. Kapag natapos na iyon, ipatupad ang mga desisyong iyon gamit ang mga tool tulad ng TSplus Advanced Security at access na suportado ng MFA.

Magsimula na ngayon sa madaling seguridad ng IT server na pangkalahatan .

Bahagi:

Facebook Twitter LinkedIn

Ang iyong TSplus Team

Karagdagang pagbabasa

TSplus Remote Desktop Access - Advanced Security Software

Secure Web Gateway untuk Server Aplikasi

Naghahanap ng isang secure na Web gateway para sa iyong mga application server? Alamin kung ano ang naglalagay sa TSplus Advanced Security bilang isang makapangyarihang secure na web gateway, na binuo upang protektahan ang mga application server mula sa malawak na hanay ng mga banta sa cyber.

Basahin ang artikulo →
back to top of the page icon