TSplus Advanced Security Logo

您想以其他语言查看该网站吗?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
更改语言
目录

介绍

安全浏览器访问私有应用程序使员工、承包商和合作伙伴能够从任何地方访问业务应用程序,而无需打开整个网络。对于中小企业的IT团队来说,挑战在于平衡便利性与保护。本文解释了如何通过最小权限、更强的身份验证和受控连接规则来降低远程访问风险。

什么是对私有应用程序的安全浏览器访问?

安全浏览器访问私有应用程序允许授权用户通过网络浏览器打开内部业务应用程序。用户只访问分配给他们的应用程序,而不是通过虚拟私人网络(VPN)连接到整个网络。

一个私有应用程序可能是企业资源规划系统、会计软件、客户数据库、内部门户、管理控制台、传统Windows应用程序或 远程桌面协议 RDP,应用程序。该应用程序是私有的,因为它不应直接在公共互联网中可用。

安全原则很简单:浏览器访问应该提供应用程序,而不是整个网络。这支持最小权限,用户仅获得其角色所需的访问权限,而不多于此。

安全的浏览器访问还必须保护登录页面后面的内容。Windows会话、文件、凭据和业务应用程序仍然是有价值的目标,因此服务器环境需要超越简单身份验证的安全控制。

为什么仅使用VPN访问会带来不必要的风险?

VPN仍然对需要广泛网络级访问的管理员和技术用户有用。VPN创建一个加密隧道进入私有网络,并且在正确配置时可以有效。

然而,当用户只需要一个应用程序或一小组业务资源时,仅使用VPN访问可能会过于繁琐。在这种情况下,VPN可能会增加网络可见性、终端支持工作以及被攻陷账户的潜在影响。

NIST SP 800-46 修订版 2 解释远程访问安全程序应考虑远程办公、远程访问和自带设备场景,包括安全政策和技术控制。这很重要,因为私人应用访问通常涉及外部用户、未管理的设备以及来自组织控制之外的网络的连接。

对于中小型企业来说,VPN的复杂性可能成为日常运营问题。承包商可能需要临时访问。用户可能会使用个人设备工作。IT团队可能花费过多时间管理客户,而不是降低风险。

安全浏览器访问私有应用程序提供了一个更专注的模型。组织发布特定应用程序,控制谁可以连接,并保护这些应用程序运行的基础设施。

浏览器访问安全的原因是什么?

浏览器访问并不自动安全。如果没有强有力的控制,网络门户、登录页面或发布的应用程序仍然可能受到攻击。

安全浏览器访问依赖于三个层次:身份、应用范围和基础设施保护。每个层次减少远程访问风险的不同部分。

身份和认证

身份控制决定谁被允许连接。组织应使用强密码策略、多因素身份验证或MFA,以及针对暴露访问点的账户锁定规则。

对于基于RDP的环境,网络级身份验证(NLA)也很重要。NLA在建立完整的RDP会话之前对用户进行身份验证,这有助于减少服务器资源的不必要暴露。

应用程序级访问控制

应用级访问控制定义了每个用户在身份验证后可以访问的内容。这就是“用户可以打开会计应用程序”和“用户可以浏览服务器”之间的区别。

安全浏览器访问应根据用户或组分配应用程序。财务团队、外部会计师、承包商和管理员默认不应获得相同的访问权限。这支持一个实用的 中小企业远程访问的零信任 模型,在允许访问之前,每个用户、设备和会话都经过验证。

服务器和数据保护

因此,安全浏览器访问应包括 高级安全 控制措施,如暴力攻击防御、地理过滤、工作时间限制、权限控制、勒索软件保护、警报和安全日志。没有这些层,浏览器就会变成另一个暴露的远程访问表面。

因此,安全浏览器访问应包括暴力破解防御、地理过滤、工作时间限制、权限控制、勒索软件保护、警报和安全日志。没有这些层,浏览器就会变成另一个暴露的远程访问表面。

安全浏览器访问私有应用的最佳实践是什么?

一个安全的浏览器访问策略应在每次连接之前、期间和之后减少暴露。以下做法帮助IT团队保护私有应用程序,而不增加不必要的复杂性。

仅发布用户所需的应用程序

应用程序发布应从角色映射开始。每个用户或组应仅获得日常工作所需的应用程序访问权限。

例如,外部会计师可能需要一个会计应用程序,但不需要完整的桌面。支持承包商可能需要一个管理控制台,但不需要文件服务器访问。

这种范围限制减少了被盗凭证或会话滥用造成的潜在损害。即使账户被攻破,攻击者可接触的系统也会减少。

避免直接暴露RDP和远程服务

直接暴露的远程服务会吸引扫描器、暴力破解工具和凭证攻击。RDP不应在没有额外保护的情况下对互联网开放。

微软学习 描述远程桌面网关(RD Gateway)作为用户从公司防火墙外安全连接内部网络资源的一种方式。该基于网关的模型有助于避免对内部系统的无控制直接访问。

即使组织使用网络门户或网关,管理员仍应减少暴露的端口,加强身份验证并监控登录行为。远程访问安全依赖于完整的链条,而不仅仅是第一个登录屏幕。

强制实施多因素身份验证、网络级身份验证和强密码策略

仅凭密码不足以进行远程访问。重复使用的密码、网络钓鱼和凭证填充使暴露的登录页面成为常见目标。

MFA增加了第二个验证步骤。NLA通过在建立完整远程会话之前对用户进行身份验证,帮助保护RDP环境。强密码规则和账户锁定政策降低了自动猜测成功的机会。

管理员账户需要更严格的控制。管理员访问应使用多因素身份验证、限制源位置、专用凭据和更密切的监控。

按国家、IP 地址和工作时间限制访问

并不是每个组织都需要接受来自每个位置的远程连接。地理限制和IP允许列表减少了不必要的暴露。

例如,一家仅在法国、西班牙和德国运营的中小企业可以阻止来自其他国家的登录尝试。一个托管服务提供商可以限制管理员访问受信任的办公室IP地址。

工作时间限制增加了另一个有用的层次。如果承包商在周一至周五的08:00到18:00工作,他们的会话不应在周日的02:00仍然可用。

将最小权限应用于文件、打印机和系统资源

应用程序访问并不自动意味着安全访问。一旦会话打开,用户仍然可以与本地驱动器、打印机、注册表项或文件夹进行交互。

管理员应审查文件系统权限、打印机访问、剪贴板行为和系统设置。需要一个私有应用程序的用户不应获得广泛的服务器权限。

最小权限限制了被攻陷账户的影响范围。它还减少了用户错误或恶意软件影响无关资源的机会。

监控失败的登录和勒索软件行为

重复的失败登录可能表明暴力破解活动、凭证填充或配置错误的脚本。自动阻止是有用的,因为攻击发生的速度可能快于管理员手动响应的速度。对于暴露的访问路径,IT团队还应审查实际情况。 暴力保护 如 MFA、IP 限制、NLA、TLS 和实时检测等控制。

勒索软件保护也属于远程访问策略。CISA 的勒索软件指南侧重于减少勒索软件事件的可能性和影响,这在私有应用程序连接到共享文件或操作数据时直接相关。

浏览器访问、网关访问和RDP访问都应该产生管理员可以审查的事件。可见性对于快速响应和长期加固至关重要。

中小企业的实施清单是什么?

在通过浏览器发布私有应用程序之前,IT团队应确认以下控制措施。此检查清单有助于减少暴露,限制用户权限并保护远程访问背后的Windows服务器。

定义用户和应用程序访问

首先确定谁需要远程访问以及原因。为员工、承包商、管理员和外部合作伙伴创建用户组,然后将每个组映射到其角色所需的应用程序。

仅发布每个组所需的应用程序或桌面。当一个业务应用程序足够时,避免给予用户完整的桌面访问权限。

加强身份验证

要求远程用户、外部用户和管理员使用多因素身份验证。多因素身份验证降低了被盗或猜测的密码成功被攻破的风险。

在使用远程桌面协议的地方,启用网络级身份验证。NLA 有助于在建立完整的远程会话之前验证用户。

减少互联网暴露

避免将RDP直接暴露在互联网上。使用受控访问点、网关或安全的网络访问模型,这些模型包括身份验证、过滤和监控。

定期检查暴露的端口和服务。删除不再需要的公共访问。

根据上下文限制访问

通过国家、受信任的IP地址和工作时间限制远程访问。这些控制有助于阻止与正常业务活动不匹配的连接。

例如,在办公时间工作的承包商不应能够在深夜或来自意外地区连接。

应用最小权限

审核文件系统、打印机、注册表和剪贴板权限。用户应仅拥有完成其工作的所需权限。

最小权限限制了被攻击账户、恶意软件或用户错误造成的损害。

启用自动威胁保护

启用暴力破解保护和自动IP阻止。重复的登录失败尝试应触发快速防御行动,而无需等待人工干预。

在托管业务应用程序和数据的服务器上启用勒索软件保护。远程访问安全应保护登录点和其背后的服务器环境。

定期审查事件

定期审查日志、警报、被阻止的IP地址和勒索软件事件。安全可见性帮助IT团队检测可疑行为并随着时间的推移改善访问政策。

文档在每次审查后进行更改。这使得远程访问控制与用户、承包商和业务需求保持一致。

安全浏览器访问与VPN、VDI和ZTNA – 比较表

VPN、虚拟桌面基础设施(VDI)、零信任网络访问(ZTNA)和安全浏览器访问以不同方式解决相关问题。

方法 最佳适配 主要风险 中小企业考虑事项
VPN 需要广泛网络访问的用户 比所需的网络可见性更多 可以增加支持和端点复杂性
VDI 集中桌面环境 成本和管理开销 强大,但对于简单应用访问来说往往较重
零信任网络访问 对私有资源的细粒度访问 架构和许可复杂性 强大的模型,但对于较小的团队可能会很复杂
安全浏览器访问 需要特定私有应用的用户 未受保护的暴露门户 与强大的服务器安全性配合使用时实用

当用户确实需要网络访问时,VPN非常有用。当组织希望集中管理完整桌面时,VDI非常有用。当组织准备在许多私有资源之间建立基于身份的细粒度访问时,ZTNA非常有用。

安全浏览器访问通常是中小企业的更轻便选择。用户打开浏览器,进行身份验证并访问分配的应用程序。当托管基础设施受到常见远程访问威胁的保护时,该模型变得安全。

TSplus 如何帮助保护对私有应用的浏览器访问

TSplus高级安全 保护Windows服务器和会话,远程访问私有应用程序。它有助于减少常见的暴露风险,例如暴力登录尝试、不必要的地理连接、在批准的工作时间之外的访问、过度权限和勒索软件行为。

管理员可以使用暴力破解保护、地理保护、工作时间、权限、勒索软件保护、防火墙、警报和报告来加强基于浏览器的私有应用访问。这些控制措施共同帮助限制谁可以连接、何时允许访问以及哪些威胁被阻止。

结论

安全浏览器访问私有应用可以减少对VPN的依赖,并在服务器端保护强大的情况下限制网络暴露。TSplus帮助中小企业控制谁可以连接,限制风险位置和时间,阻止暴力破解尝试,管理权限并停止勒索软件行为,从而使私有应用在日常业务操作中保持对授权用户的可用性,而不必让Windows基础设施不必要地暴露。

分享:

Facebook Twitter 领英

您的TSplus团队

进一步阅读

back to top of the page icon