Bạn có muốn xem trang web bằng một ngôn ngữ khác không?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Thay đổi ngôn ngữ
Mục lục
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Tại sao các máy tính để bàn từ xa cần bảo mật mạnh mẽ?

Remote Desktop không tự động không an toàn, nhưng, như bất kỳ chế độ kết nối từ xa nào, nó không bao giờ an toàn hơn hệ thống xung quanh nó. Đối với các quản trị viên hệ thống, câu hỏi đúng không phải là liệu Remote Desktop có an toàn trong lý thuyết hay không. Câu hỏi đúng là liệu điểm cuối, đường dẫn tiếp xúc mạng và các kiểm soát tài khoản có đủ mạnh để hỗ trợ nó hay không.

Việc định hình này quan trọng vì hướng dẫn hiện tại của Microsoft vẫn tập trung vào việc bảo mật Remote Desktop xung quanh Xác thực Cấp Mạng (NLA), RD Gateway, chứng chỉ TLS và MFA thay vì xung quanh việc tiếp xúc công khai trực tiếp. Theo đó, CISA và hướng dẫn tương tự liên tục thúc đẩy các tổ chức tắt quyền truy cập RDP không sử dụng, hạn chế các dịch vụ rủi ro và thực thi MFA vì quyền truy cập từ xa bị lộ vẫn là một con đường xâm nhập phổ biến. Tuy nhiên, chúng tôi nghĩ rằng còn nhiều việc cần phải làm.

Ba kiểm tra ban đầu nào xác định rủi ro Remote Desktop?

Rủi ro điểm cuối

Rủi ro điểm cuối là tình trạng của chính máy tính. Một máy trạm Windows đã được vá đầy đủ với bảo vệ điểm cuối hiện đại, quyền quản trị hạn chế và hành vi phiên kiểm soát đang ở một vị trí rất khác so với một máy chủ cũ với quyền quản trị cục bộ rộng rãi và thông tin xác thực lỗi thời. Các máy tính để bàn từ xa an toàn bắt đầu với một máy chủ đã có khả năng phòng thủ trước khi bất kỳ phiên từ xa nào bắt đầu.

Rủi ro lộ diện mạng

Rủi ro lộ diện mạng liên quan đến khả năng tiếp cận. Nếu một bề mặt đăng nhập có thể truy cập trực tiếp từ internet, máy tính sẽ bị lộ ra trước các cuộc quét, đoán mật khẩu và các nỗ lực khai thác. Nếu cùng một máy chủ chỉ có thể truy cập thông qua VPN, RD Gateway hoặc một lớp truy cập được quản lý chặt chẽ, rủi ro sẽ thay đổi đáng kể. Microsoft rõ ràng định vị RD Gateway như một cách để cung cấp truy cập mã hóa qua HTTPS mà không cần mở các cổng RDP nội bộ.

Rủi ro tài khoản

Rủi ro tài khoản liên quan đến chất lượng danh tính và quyền hạn. Một máy chủ an toàn trở nên không an toàn nhanh chóng khi các đăng nhập từ xa phụ thuộc vào mật khẩu đã sử dụng lại, tài khoản quản trị không hoạt động, hoặc quyền hạn rộng. Hướng dẫn lập kế hoạch RDS của Microsoft tiếp tục coi MFA là một kiểm soát cốt lõi cho việc truy cập từ xa an toàn, đặc biệt khi quyền truy cập được trung gian qua RD Gateway.

Tại sao câu trả lời lại thay đổi cho máy tính gia đình, trạm làm việc văn phòng, máy chủ hoặc trang trại và cơ sở hạ tầng lớn hơn?

Máy tính gia đình

Một máy tính cá nhân tại nhà thường có bán kính tác động nhỏ hơn so với một máy chủ sản xuất, nhưng thường thì nó được quản lý kém nghiêm ngặt hơn. Các bộ định tuyến tiêu dùng, việc chuyển tiếp cổng tùy tiện, mật khẩu địa phương yếu và việc vá lỗi không nhất quán có thể khiến một hệ thống tại nhà trở nên dễ bị tổn thương một cách bất ngờ. Rủi ro chính thường là cấu hình kém hơn là thiết kế doanh nghiệp có chủ đích.

Máy trạm văn phòng

Một trạm làm việc văn phòng thường nằm trong một mạng được quản lý, nhưng điều đó không loại bỏ rủi ro. Nếu một tài khoản người dùng bị xâm phạm có thể truy cập vào trạm làm việc từ xa, trạm làm việc có thể trở thành điểm pivot cho việc di chuyển ngang, đánh cắp dữ liệu hoặc leo thang quyền hạn. Trong thực tế, các điểm cuối văn phòng cần cả vệ sinh điểm cuối và chính sách truy cập từ xa rõ ràng.

Máy chủ Windows

Một máy chủ Windows mang lại hậu quả cao nhất. Truy cập từ xa vào máy chủ tệp, máy chủ ứng dụng hoặc Máy chủ Phiên Remote Desktop có nghĩa là kẻ tấn công gần hơn với dữ liệu quan trọng, dịch vụ chia sẻ và công cụ quản trị. Đó là lý do tại sao các máy chủ RD an toàn cần kiểm soát danh tính nghiêm ngặt hơn, phạm vi tiếp xúc hẹp hơn và các biện pháp phòng thủ chủ động tại bề mặt đăng nhập.

Các trang trại và cơ sở hạ tầng lớn hơn

Trong một trang trại hoặc hạ tầng truy cập từ xa lớn hơn, rủi ro không còn gắn liền với một máy tính đơn lẻ. Một trạm làm việc yếu, một máy chủ bị lộ hoặc một tài khoản quản trị viên được cấp quyền quá mức có thể ảnh hưởng đến toàn bộ môi trường bao gồm các ứng dụng đã được công bố, các máy chủ Remote Desktop, cổng thông tin, cổng và các hệ thống quản lý hỗ trợ. Đối với các nhà phát triển phần mềm độc lập (ISVs), các nhà cung cấp dịch vụ quản lý (MSPs) và các đội ngũ CNTT doanh nghiệp, thách thức thực sự là tính nhất quán trên nhiều điểm cuối và các đường dẫn truy cập .

Điều này thay đổi câu hỏi bảo mật theo hai cách.

Chia sẻ sự tiếp xúc

Đầu tiên, các quản trị viên phải nghĩ theo khái niệm về sự tiếp xúc chung thay vì các máy chủ riêng lẻ.

Các điều khiển có thể mở rộng

Thứ hai, họ cần các điều khiển có thể mở rộng trên các môi trường hỗn hợp, bao gồm các trạm làm việc của người dùng, các máy chủ RD an toàn và các hệ thống tiếp xúc với internet.

Trong bối cảnh đó, bảo vệ các kết nối từ xa có nghĩa là chuẩn hóa chính sách, giảm bề mặt tấn công trên toàn bộ hệ thống, và giám sát xác thực cũng như hành vi phiên làm việc một cách tập trung thay vì từng máy chủ.

Rủi ro điểm cuối: Máy chủ đã sẵn sàng cho Remote Access chưa?

Trước khi bạn bảo vệ các kết nối từ xa, hãy xác minh rằng máy chủ có xứng đáng để được công khai hay không. Bắt đầu với tần suất vá lỗi, bảo vệ điểm cuối, phạm vi quản trị viên cục bộ và vệ sinh thông tin đăng nhập đã lưu. NLA giúp giảm thiểu việc thiết lập phiên không xác thực, nhưng nó không bù đắp cho một máy tính được bảo trì kém. Microsoft vẫn khuyến nghị NLA vì người dùng xác thực. trước khi một phiên được thiết lập , điều này giảm thiểu rủi ro truy cập trái phép và giới hạn cam kết tài nguyên cho người dùng đã xác thực.

Để xem xét nhanh các điểm cuối, hãy kiểm tra những mục này:

  1. Hệ điều hành có được cập nhật đầy đủ và được hỗ trợ không?
  2. Người dùng chỉ cần thiết trong nhóm Người dùng Remote Desktop phải không?
  3. Quyền quản trị viên cục bộ có bị hạn chế không?
  4. Bảo vệ điểm cuối có đang hoạt động và được giám sát không?
  5. Có thường xuyên xem xét thông tin xác thực đã lưu, phiên đã lưu và tài khoản không hoạt động không?

Đây cũng là nơi mà TSplus Advanced Security phù hợp như một lớp tăng cường phía trên. Phần mềm Advanced Security của chúng tôi là một bộ công cụ để bảo mật các máy chủ ứng dụng và Remote Desktop. Từ tài liệu được cập nhật thường xuyên của chúng tôi, đáng chú ý một số tính năng liên quan nhất, đó là Bruteforce Protection, Geographic Protection và Ransomware Protection, từ quy trình cấu hình ban đầu.

Rủi ro lộ diện mạng: Kẻ tấn công có thể tiếp cận bề mặt đăng nhập không?

Tiếp xúc trực tiếp qua internet

Sự tiếp xúc trực tiếp với RDP vẫn là mẫu nguy hiểm nhất phổ biến. Nếu TCP 3389 có thể truy cập từ internet công cộng, máy sẽ trở nên dễ bị phát hiện bởi các công cụ quét và lưu lượng tấn công brute-force. CISA liên tục khuyên các tổ chức tắt các cổng và giao thức không cần thiết cho việc sử dụng kinh doanh, đặc biệt nêu tên cổng RDP 3389 trong nhiều thông báo về ransomware và mối đe dọa.

VPN, cổng RD hoặc đường dẫn truy cập được kiểm soát

Một con đường truy cập được kiểm soát an toàn hơn vì nó thu hẹp cửa trước bị lộ. Phiên bản hiện tại của Microsoft Tổng quan về RDS khẳng định rằng RD Gateway cung cấp quyền truy cập RDP an toàn, được mã hóa qua HTTPS từ các mạng bên ngoài mà không cần mở cổng RDP nội bộ, và nó hỗ trợ MFA và các chính sách điều kiện. Đây là một mô hình mạnh mẽ hơn nhiều so với việc phơi bày RDP trực tiếp.

TSplus Advanced Security phù hợp ở đâu?

TSplus Advanced Security rất hữu ích khi bạn cần kiểm soát nhiều hơn đối với rìa tiếp xúc của quyền truy cập từ xa Windows. Từ việc chặn hacker đến bảo vệ Remote Desktop và các máy chủ ứng dụng, từ việc hạn chế các quốc gia được phép đến việc đưa các IP thù địch vào danh sách đen, hoặc tự động phản hồi với hành vi brute-force, Advanced Security có phạm vi bảo vệ 360°. Ví dụ, tài liệu trực tuyến của chúng tôi mô tả cụ thể cách Bảo vệ Địa lý hoạt động với tường lửa tích hợp của Advanced Security. Trong khi đó, Bảo vệ Bruteforce tự động đưa các địa chỉ IP vi phạm vào danh sách đen sau nhiều lần thất bại.

Bạn có cần kiểm soát mạnh mẽ hơn đối với quyền truy cập từ xa bị lộ nhưng muốn tránh tích lũy sự phức tạp của doanh nghiệp? Bạn được chào đón để bắt đầu dùng thử miễn phí TSplus Advanced Security và khám phá những gì nó có thể làm ngay lập tức cũng như trong 15 ngày tiếp theo.

Rủi ro tài khoản: Ai có thể đăng nhập và với quyền hạn gì?

Thông tin đăng nhập

Thông tin đăng nhập yếu vẫn là một trong những cách nhanh nhất để mất kiểm soát một máy tính có thể truy cập từ xa. Truy cập chỉ bằng mật khẩu, tài khoản quản trị chia sẻ và thông tin đăng nhập dịch vụ cũ đều biến một thiết lập có thể quản lý thành một mục tiêu hấp dẫn. Ngay cả khi việc truyền tải được mã hóa, việc quản lý danh tính kém làm suy yếu toàn bộ thiết kế.

Xác thực đa yếu tố

MFA là một trong những cách rõ ràng nhất để giảm thiểu rủi ro đó. Hướng dẫn lập kế hoạch RDS của Microsoft tiếp tục tập trung vào MFA trong các quy trình làm việc từ xa an toàn, và TSplus 2FA được thiết kế đặc biệt để thêm ít nhất một yếu tố thứ hai vào quyền truy cập từ xa đến.

Quyền tối thiểu

Quyền hạn tối thiểu cũng quan trọng không kém. Trên các máy chủ RD an toàn, quyền đăng nhập từ xa nên được giới hạn cho các nhóm đã được chỉ định, các phiên quản trị nên được tách biệt khỏi quyền truy cập của người dùng thông thường, và các tài khoản không hoạt động nên được vô hiệu hóa. Nếu bạn không biết chính xác ai có thể đăng nhập từ xa, môi trường đã yếu hơn so với vẻ bề ngoài.

Khóa người dùng thiết bị

Để tăng cường sự an tâm, chúng tôi đã cung cấp một lớp bảo vệ bổ sung dưới dạng Thiết bị Đáng Tin Cậy. Tính năng bảo mật điểm cuối này khóa tên người dùng với thiết bị mà họ thường sử dụng, từ đó cho phép phản ứng nhanh hơn trong trường hợp thiết bị bị mất hoặc bị đánh cắp.

Kiểm tra tự đánh giá 5 phút cho quản trị viên hệ thống

Chạy kiểm tra nhanh này trước khi bạn cho rằng một máy là an toàn cho Remote Desktop:

  1. Cổng 3389 có thể truy cập từ internet công cộng không?
  2. NLA có được kích hoạt trên máy chủ mục tiêu không?
  3. Truy cập từ xa có được trung gian qua VPN, RD Gateway hoặc một con đường kiểm soát khác không?
  4. MFA có được áp dụng cho các đăng nhập từ xa không?
  5. Quyền đăng nhập từ xa có bị giới hạn ở nhóm nhỏ nhất cần thiết không?
  6. TSplus Advanced Security hoặc bảo vệ tương đương chặn tấn công brute-force và hoạt động IP thù địch?
  7. Máy chủ có được cập nhật, giám sát và không có tài khoản đặc quyền cũ không?

Nếu câu trả lời cho câu hỏi đầu tiên là có và ba câu tiếp theo là không, hãy coi máy này là có rủi ro cao.

Cần sửa chữa gì trước tiên

Các quản trị viên hệ thống thường nhận được sự giảm thiểu rủi ro lớn nhất từ thứ tự, không phải từ khối lượng. Hãy sửa thứ tự của các biện pháp kiểm soát trước tiên.

Bắt đầu bằng cách loại bỏ sự tiếp xúc công khai trực tiếp ở bất kỳ đâu có thể. Sau đó, thắt chặt danh tính với MFA và các phạm vi đăng nhập nhỏ hơn. Sau đó, tăng cường bảo mật cho máy chủ và thêm các biện pháp kiểm soát phòng thủ chủ động xung quanh bề mặt truy cập từ xa.

Đối với nhiều môi trường SMB và thị trường trung bình, đó là nơi TSplus Advanced Security trở nên thực tế và cần thiết. Sản phẩm được phát triển cho máy chủ truy cập từ xa Windows và ứng dụng, và bài viết liên quan của chúng tôi về TSplus trên kết nối an toàn đến trang từ xa mở rộng về điều này, đồng thời giải thích lý do tại sao Advanced Security là lớp bảo vệ chính cho các môi trường truy cập từ xa an toàn.

Kết luận: Bảo mật Remote Desktop bắt đầu từ nguồn gốc

Cách mà máy tính của bạn được bảo mật khỏi desktop từ xa phụ thuộc ít hơn vào Remote Desktop mà hơn vào các kiểm tra xung quanh nó. Tư thế điểm cuối quyết định xem máy có thể được bảo vệ hay không. Sự tiếp xúc mạng quyết định xem kẻ tấn công có thể tiếp cận bề mặt đăng nhập hay không. Kiểm soát tài khoản quyết định xem một đăng nhập hợp lệ có trở thành một sự cố lớn hay không.

Đó là câu trả lời thực tiễn cho việc quản lý hệ thống. Nếu bạn muốn bảo vệ các kết nối từ xa một cách tốt, đừng bắt đầu với phiên. Hãy bắt đầu từ phía trên với máy chủ, đường dẫn tiếp xúc và lớp danh tính. Khi điều đó đã hoàn tất, hãy thực thi những quyết định đó bằng các công cụ như TSplus Advanced Security và truy cập hỗ trợ MFA.

Bắt đầu ngay hôm nay với bảo mật máy chủ CNTT toàn diện được đơn giản hóa .

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Đọc thêm

TSplus Remote Desktop Access - Advanced Security Software

Cổng an toàn web cho máy chủ ứng dụng

Tìm kiếm một cổng web an toàn cho các máy chủ ứng dụng của bạn? Tìm hiểu những gì làm cho TSplus Advanced Security trở thành một cổng web an toàn mạnh mẽ, được phát triển để bảo vệ các máy chủ ứng dụng khỏi một loạt các mối đe dọa mạng.

Đọc bài viết →
back to top of the page icon