Ce este Remote Desktop Protocol (RDP)?
Remote Desktop Protocol (RDP) este un protocol dezvoltat de Microsoft, care permite utilizatorilor să se conecteze la un computer sau la un server de la distanță și să controleze desktop-ul și aplicațiile de pe acea mașină. RDP permite accesul la o interfață grafică de utilizator pe un alt computer peste o rețea de internet sau o rețea locală. Utilizatorul care se conectează cu ajutorul RDP poate controla complet computerul de la distanță, exact cum ar face dacă ar fi fizic în fața lui. Portul 3389 este folosit în mod implicit pentru conexiunile RDP.
Cât de sigur este serviciul Remote Desktop pe Windows?
Sesiunile Remote Desktop funcționează printr-un canal criptat, prevenind orice posibilitate ca cineva să-și poată vizualiza sesiunea prin intermediul ascultării pe rețea. Cu toate acestea, există o vulnerabilitate în metoda folosită pentru a cripta sesiunile în versiunile mai vechi ale RDP. Această vulnerabilitate poate permite accesul neautorizat la sesiunea ta folosind o atacul de tip man-in-the-middle.
Remote Desktop poate fi securizat folosind SSL/TLS în Windows Vista, Windows 7, Windows 8, Windows 10 și Windows Server 2003/2008/2012/2016. Totuși, unele sisteme care nu mai sunt susținute de Microsoft nu îndeplinesc standardele de securitate ale campusului. Dacă aceste sisteme nesuportate sunt încă în uz, este necesară o excepție de securitate.
De ce e importantă limitarea serviciilor RDP?
Restricționarea accesului la serviciile RDP și la alte soluții de Desktop Remote este importantă dintr-o varietate de motive:
1. Prevenirea atacurilor cibernetice
Limitând accesul la aceste servicii, riscul de atacuri cibernetice, cum ar fi brute-force attacks, se reduce semnificativ. Aceste atacuri implică încercarea repetată de a ghici parolele pentru a obține acces neautorizat. Prin restricționarea numărului de încercări permise, riscul acestor atacuri poate fi redus semnificativ.
2. Protejarea datelor sensibile
Accesul neautorizat la desktop-urile sau serverele cu informații sensibile poate duce la pierderea datelor importante sau la furtul de informații. Limitând numărul de persoane care pot accesa aceste resurse, riscul de expunere a datelor se reduce considerabil.
3. Îmbunătățirea performanței sistemului
Limitarea utilizării serviciilor RDP poate contribui la îmbunătățirea performanței sistemului. Cu mai puțini utilizatori conectați în același timp, resursele sunt distribuite mai eficient, ceea ce duce la o funcționare mai fluentă și rapidă a sistemului.
4. Asigurarea conformității cu reglementările de securitate
Multe industrii și organizații sunt supuse unor reglementări stricte de securitate și confidențialitate a datelor. Limitarea utilizării serviciilor RDP poate ajuta aceste organizații să se conformeze mai ușor cu cerințele legale și să evite amenzi și penalități.
Metode de limitare a accesului serviciilor de tip Remote Desktop
Deși Remote Desktop este mai sigur decât instrumentele de administrare la distanță precum VNC, care nu criptează întreaga sesiune, oricând se acordă acces de tip Administrator la un sistem de la distanță, există riscuri. Iată câteva sfaturi care pot ajuta la securizarea accesului Remote Desktop pentru atât pentru desktop-uri, cât și pentru serverele pe care le gestionați:
- Restricționați accesul folosind firewallurile
Folosiți firewaluri (atat hardware, cat și software, atunci când sunt disponibile) pentru a restricționa accesul la porturile de ascultare ale Remote Desktop (implicit TCP 3389). Utilizarea unui RDP Gateway este foarte recomandată pentru a restricționa accesul RDP la desktop-uri și servere.
Dacă aveți un computer administrat personal și acces de Administrator, urmăriți pașii de mai jos pentru a vă actualiza Firewall-ul Windows, astfel încât doar gazdele și rețelele autorizate să poată accesa sistemul prin Remote Desktop (RDP):
- Setări > Actualizare și Securitate > Securitate Windows > Firewall și Protecție Rețea > Setări Avansate > Reguli de Intrare > Remote Desktop - Mod Utilizator (TCP-In) > Proprietăți > Arie de Acoperire > Adăugare IP Remote > Acest IP sau Subrețea (Settings > Update and Security > Windows Security > Firewall and Network Protection > Advanced Settings > Inbound Rules > Remote Desktop - User Mode (TCP-In) > Properties > Scope > Remote IP address > Add > This IP address or subnet;
- Setări > Actualizare și Securitate > Securitate Windows > Firewall și Protecție Rețea > Setări Avansate > Inbound Rules > Remote Desktop - User Mode (TCP-In) > Properties > Scope > Remote IP address > Add (Settings > Update and Security > Windows Security > Firewall and Network Protection > Advanced Settings > Inbound Rules > Remote Desktop - User Mode (TCP-In) > Properties > Scope > Remote IP address > Add);
- Sub "Acest IP sau Subrețea" (This IP address or subnet), adaugă doar adrese IP și subrețele de rețea care ar trebui să aibă autorizație pentru a se conecta la serviciul tău Remote Desktop (RDP). Câteva exemple comune de adrese IP și subrețele de pe campus sunt listate în secțiunea de mai jos.
- Activarea Autentificării la Nivel de Rețea (NLA)
Autentificarea la Nivel de Rețea (NLA) este o măsură esențială pentru securizarea conexiunilor Remote Desktop pe sistemele Windows 10, Windows Server 2012 R2/2016/2019. Această funcționalitate este activată implicit pe aceste platforme și este recomandat să fie păstrată activată, deoarece NLA furnizează un nivel suplimentar de autentificare înainte de stabilirea conexiunii. Este indicat să configurezi serverele Remote Desktop să permită conexiuni fără NLA doar dacă folosești clienți Remote Desktop pe alte platforme care nu susțin această funcționalitate.
Pentru a verifica dacă NLA este activată, puteți verifica setările Politicilor de Grup. Accesează setarea Cere autentificarea utilizatorului pentru conexiunile la distanță utilizând Autentificarea la Nivel de Rețea > "Require user authentication for remote connections by using Network Level Authentication" în calea Computer\Policies\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security. Această setare din Politicile de Grup trebuie să fie activată pe serverul care rulează rolul Remote Desktop Session Host pentru a se asigura că Autentificarea la Nivel de Rețea este în funcțiune și că conexiunile beneficiază de un nivel adițional de securitate.
- Restricționați utilizatorii care pot accesa Remote Desktop
În mod implicit, toți Administratorii pot accesa Remote Desktop. Dacă aveți mai multe conturi de Administrator pe stație, ar trebui să limitați accesul la Remote Desktop doar pentru acele conturi care au nevoie de el. Dacă Remote Desktop nu este folosit pentru administrarea sistemului, eliminați toate accesele administrative prin RDP și permiteți doar conturilor de utilizatori care au nevoie de serviciul RDP. Pentru departamentele care gestionează multe mașini de la distanță, eliminați accesul contului de Administrator local prin RDP și adăugați în schimb un grup tehnic.
- Accesați Start > Programe > Instrumente Administrative > Politică de Securitate Locală (Start>Programs>Administrative Tools>Local Security Policy)
- Sub Politici Locale > Drepturi ale Utilizatorului, accesați "Permiteți autentificarea prin Terminal Services" sau "Permiteți autentificarea prin Servicii Remote Desktop" (Local Policies>User Rights Assignment, accesați "Allow logon through Terminal Services" sau “Allow logon through Remote Desktop Services”)
- Eliminați grupul Administrators și lăsați grupul Remote Desktop Users.
- Utilizați panoul de control System pentru a adăuga utilizatori în grupul Remote Desktop Users.
Un sistem de operare tipic Microsoft va avea setarea următoare în mod implicit în Local Security Policy:
Problema constă în faptul că "Administratorii" sunt prezenți implicit aici, iar contul "Local Admin" este în grupul administrators. Chiar dacă se recomandă o convenție pentru parole pentru a evita parolele identice ale adminului local pe mașina locală și pentru a controla strâns accesul la aceste parole sau convențiile, folosirea unui cont de admin local pentru a lucra la distanță pe o mașină nu identifică corespunzător utilizatorul care folosește sistemul. Este mai bine să înlocuiți politica de securitate locală cu o Setare de Politică de Grup.
Prin restricționarea numărului de utilizatori și a conturilor de Administrator care pot accesa RDP, riscurile de atacuri brute-force, ransomware și acces neautorizat sunt semnificativ reduse. De asemenea, acest lucru ajută la protejarea datelor sensibile și la menținerea performanței sistemelor.
Implementarea unor măsuri de securitate, cum ar fi utilizarea firewall-urilor, a Autentificării la Nivel de Rețea și a politicilor de restricționare a accesului, asigură că conexiunile RDP sunt sigure și conforme cu reglementările de securitate. Administrarea corectă a accesului utilizatorilor, însoțită de politici de grup bine definite și actualizări constante ale sistemelor, contribuie la un mediu informatic protejat și eficient pentru organizații și utilizatori.