Изследване на RDP защитния слой срещу Negotiate: Сравнение и недостатъци

RDS, Remote Desktop Services, разчита на RDP. В продължение на много години, Remote Desktop Protocol (RDP) е бил основен инструмент за отдалечен достъп, включително RDS, позволявайки на потребителите да се свързват с Windows машини през мрежи. Осигуряването на сигурността на тези връзки е от съществено значение за защита на чувствителни данни и предотвратяване на неоторизиран достъп.

В тази статия разглеждаме разликите между два ключови компонента на сигурността на RDP: RDP Security Layer и настройката Negotiate. Ще обсъдим и TLS и други свързани аспекти на сигурността, преди да посочим някои от големите предимства, които носи RDS-Tools Advanced Security към всяка конфигурация на RDS.

Разбиране на пейзажа на сигурността на RDP

RDP работи на модел клиент-сървър, позволяващ на потребителите да контролират отдалечени системи, сякаш са физически присъстващи. Сигурността на RDP връзките включва два различни аспекта: как се установява връзката и как се осигурява връзката.

Аутентикация и установяване на връзки

Преди да се инициира връзка с отдалечен работен плот, сървърите и клиентите трябва да се удостоверят взаимно. Този процес е критичен за предотвратяване на неразрешен достъп и разкрива може би най-голямата слабост на протокола.

Накратко, Negotiate и RDP Security Layer са два механизма, използвани за постигане на тази автентикация. Третият е обикновено TLS. Security Layer е по-малко сигурен от TLS, но не всички устройства поддържат TLS, въпреки че все повече и повече го правят. Следователно, Negotiate предоставя начин за сървъра да избере, между Security Layer и TLS, процеса на сигурност, наличен и за сървъра, и за клиента.

Слой за сигурност RDP - Съвместима нативна сигурност

Слой за сигурност RDP включва вградена RDP криптиране за осигуряване на комуникацията между клиента и RD Session Host сървъра. Слой за сигурност е вграден и следователно всички Windows машини трябва да го поддържат. Този метод е прост и ефективен, но не предоставя удостоверяване на сървъра. За съжаление, той става по-малко сигурен поради липсата на удостоверяване. Разширявам защо по-долу.

Сигурност на транспортния слой (TLS) - Сигурност с предварителна автентикация

TLS е протоколът, използван от HTTPS за криптиране. Той е стъпка напред от SSL (Secure Sockets Layer). Функцията му е да провери идентичността на сървъра и клиента преди установяване на връзка между тях. Тази предварителна проверка е това, което го прави толкова сигурен в сравнение с Secure Layer.

Негotiate – Постигане на баланс между сигурността и съвместимостта

Сред тези настройки, настройката за преговори е по подразбиране за RDP връзки. Тя позволява преговори между клиента и сървъра, за да се определи най-сигурният метод за удостоверяване, поддържан от клиента. Ако клиентът поддържа Transport Layer Security (TLS), версия 1.0 или по-висока, тогава TLS се използва за удостоверяване на сървъра. Ако TLS не се поддържа, тогава се използва родното RDP криптиране, въпреки че удостоверяването на сървъра в този случай не се извършва.

Слой на сигурност: Шифроване, но достатъчно ли е?

Слой за сигурност RDP използва вградена RDP криптиране, за да защити данните по време на предаване. Въпреки това, тъй като липсва удостоверяване на сървъра, той е силно уязвим на атаки "човек в средата". Всъщност, ако връзката е установена с злонамерена страна вместо с предвидения клиент или сървър и връзката вече е компрометирана, никакво ниво на криптиране няма да служи като защита.

Може да е важно да се отбележи, че използването на RDP Security Layer изключва използването на Network Level Authentication (NLA), друг по-сигурен метод за свързване.

Настройка на преговори: Гъвкавост и основна сигурност

Като настройка, Negotiate предлага потенциално подобрена сигурност, като избира най-сигурния метод за удостоверяване, поддържан от клиента. Ако TLS е наличен, той се използва за удостоверяване на сървъра. Ако не, се използва вградена RDP криптиране. За да предостави по-добра сигурност, е от съществено значение да се уверите, че TLS се поддържа и от страната на клиента, и от страната на сървъра.

Транспортен слой за сигурност: Шифроване между проверени страни

Като зададете TLS като ниво на сигурност, шифроването е гарантирано. Имайте предвид, че връзката няма да бъде установена, ако TLS не се поддържа. Някои клиенти може следователно да не могат да получат отдалечен достъп до определени сървъри поради това, че единият или другият не отговарят на изискванията. Въпреки това, това е малка цена за спокойствие.

Избор на правилния слой за сигурност за вашата RDS инфраструктура

Както можете да видите, изборът на подходящия слой за сигурност зависи от вашите специфични нужди и среда. За повишена сигурност, препоръчвам TLS или поне Negotiate. Не е изненада, че TLS е станал общоприет. Този подход, комбиниращ надеждно криптиране с удостоверяване на сървъра, минимизира уязвимостите.

Най-добри практики за осигуряване на RDP връзки

За да укрепите сигурността на вашите RDP връзки, помислете за прилагане на тези най-добри практики:

1. Използвайте силни пароли: Използването на сложни пароли е ключово за предотвратяване на атаки с брутфорс.
2. Ограничения на защитната стена: Конфигурирайте защитните стени да позволяват RDP достъп само от доверени IP адреси или диапазони.
3. Многократна аутентикация (MFA): Внедрете 2FA, за да добавите допълнителен слой на сигурност, намалявайки риска от записване на клавиши и неоторизиран достъп.
4. Активиране на автоматични актуализации: Поддържайте операционните системи актуализирани, за да поправите известни уязвимости и да подобрите сигурността. Всъщност, помнете, че доставчиците на операционни системи и софтуер правят всичко възможно, за да бъдат в крак с развитието в тази област, за да останат една крачка напред пред хакерите и злонамерените атаки.

Това са само някои основни насоки и ще откриете, че има много повече начини за укрепване на вашата инфраструктура срещу кибератаки.

RDS-Advanced Security - Непревъзходна RDS кибер защита

Например, ето нашият инструмент за осигуряване на първокласна сигурност за вашия Инфраструктура на услугите за отдалечен работен плот (RDS) тогава нашето цялостно решение за киберсигурност. RDS Advanced Security е мощен инструментариум. Той комбинира иновационни функции, за да създаде непроницаема защита срещу външни заплахи.

Основни характеристики:

• Цялостна защита: Възползвайте се от набор от 9 функции за сигурност, които защитават всеки аспект на вашата RDS инфраструктура.
• Сигурност на отдалечен работен плот: Внедрете усъвършенствани протоколи за сигурност на вашите отдалечени сървъри незабавно след инсталацията.
• Управление на IP: Лесно управлявайте одобрените и блокираните IP адреси за детайлен контрол.
• Гъвкав контрол на достъпа: Определете параметрите за дистанционна работа без усилия, регулирайки достъпа в зависимост от местоположение, време и устройство.

Предимства:

• Адаптивна сигурност: Настройте нивата на сигурност, за да отговарят на уникалните изисквания на вашата организация.
• Безпроблемна дистанционна работа: Осигурете сигурен преход към дистанционна работа, тъй като кибер заплахите нарастват.
• Дългосрочна стойност: Постоянни лицензи гарантиране на дълготрайна защита , предлагаща изключителна стойност.

Заключение

Изборът между RDP Security Layer, TLS и Negotiate има значителни последици за сигурността на вашите връзки с отдалечен работен плот. Докато RDP Security Layer предлага простота и TLS по-безопасни комуникации, методът Negotiate предоставя балансиран подход, като преговаря за най-сигурния наличен метод за удостоверяване.

Разбирайки това и вашата инфраструктура, вие сте готови да приложите най-сигурните настройки за вашето предприятие. С добавянето на споменатите най-добри практики, сега е времето да осигурите безопасността на вашите RDP връзки и да защитите чувствителните си данни от потенциални заплахи. Можете да защитите вашата RDS инфраструктура изцяло и без усилия. Защитете вашите отдалечени сървъри с RDS Advanced Security започнете с безплатен пробен период днес.

‍