Vil du gerne se siden på et andet sprog?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Català Bahasa Melayu हिन्दी Tagalog English (UK)
Skift sprog
Indholdsfortegnelse

Udforskning af Windows-indstillinger for adgang uden adgangskode

Windows tillader som standard ikke passwordløse RDP-forbindelser, da det betragter dem som en sikkerhedsrisiko. Dog kan denne begrænsning for private netværk og kontrollerede miljøer omgås ved at foretage specifikke justeringer til Gruppepolitik, Registreringseditor og netværksgodkendelsesindstillinger .

Brug af Group Policy Editor til at tillade tomme adgangskoder

Gruppepolitikindstillinger kontrollerer mange af Windows' sikkerhedsmekanismer. Ved at justere visse politikker kan vi aktivere RDP-adgang uden at kræve adgangskoder.

Trin til at konfigurere gruppepolitik for passwordløs RDP

  1. Åbn Gruppepolitik Editor:
    • Tryk på Win + R, skriv gpedit.msc, og tryk på Enter.
  2. Naviger til sikkerhedspolitikken for Remote Desktop:
    • Gå til Computer Konfiguration → Administrative Skabeloner → Windows Komponenter → Remote Desktop Services → Remote Desktop Session Host → Sikkerhed.
  3. Deaktiver netværksniveauautentificering (NLA):
    • Find "Kræv brugerautentificering for fjernforbindelser ved hjælp af netværksniveauautentificering."
    • Sæt det til "Deaktiveret".
  4. Anvend politikken og genstart:
    • Luk Group Policy Editor og genstart dit system for at anvende ændringerne.

Hvorfor er dette nødvendigt? Netværksniveauautentifikation (NLA) håndhæver identitetsverifikation, før der oprettes en session, hvilket kræver en adgangskode. Deaktivering af det giver brugerne mulighed for at oprette forbindelse uden at angive legitimationsoplysninger.

Justering af Windows-registeret for at aktivere tomme adgangskoder

Windows Registreringsdatabasen er et andet kraftfuldt værktøj til at ændre systemadfærd. Ved at ændre specifikke registreringsværdier kan vi tillade fjernadgang til skrivebordet uden adgangskoder.

Trin til at ændre registreringsindstillinger

  1. Åbn Registreringseditor:
    • Tryk på Win + R, skriv regedit, og tryk på Enter.
  2. Naviger til sikkerhedsindstillingerne:
    • Gå til:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Ændre nøgle for LimitBlankPasswordUse:
    • Find LimitBlankPasswordUse.
    • Dobbeltklik på nøglen og ændr dens værdi fra 1 til 0.
    • Klik OK at gemme.
  4. Genstart computeren:
    • Genstart systemet for at sikre, at ændringerne træder i kraft.

Hvad gør denne ændring? Windows blokerer som standard netværkslogin med tomme adgangskoder af sikkerhedsmæssige årsager. Ændring af denne registreringsnøgle tillader fjernlogin, selvom der ikke er indstillet nogen adgangskode på kontoen.

Automatisering af indstillinger via kommandolinje

For IT-administratorer, der administrerer flere maskiner, kan det være tidskrævende at foretage disse ændringer manuelt. I stedet, kommandolinjeautomatisering kan bruges til hurtigt at anvende disse konfigurationer.

Udfører kommando for at ændre registreringsdatabasen

Kør følgende kommando i Kommandoprompt (med administratorrettigheder) for at aktivere adgang til RDP uden adgangskode:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 0 /f

Deaktivering af netværksniveauautentifikation via PowerShell

PowerShell kan bruges til at automatisere processen med at deaktivere NLA:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication -Value 0

At køre disse kommandoer sikrer, at indstillingerne anvendes øjeblikkeligt på tværs af flere maskiner uden manuelt at navigere gennem GUI'en.

Alternative metoder til sikker adgang uden adgangskoder

Selvom fjernelse af adgangskodeautentifikation kan øge bekvemmeligheden, er det vigtigt at opretholde sikkerheden ved at implementere alternative autentifikationsmetoder. Disse metoder sikrer, at mens brugerne ikke længere er afhængige af adgangskoder, bliver deres identiteter stadig sikkert verificeret, hvilket forhindrer uautoriseret adgang.

Implementering af certifikatbaseret autentificering

I stedet for traditionelle adgangskoder kan organisationer bruge digitale certifikater udstedt af en betroet certifikatmyndighed (CA) til at autentificere RDP-sessioner. Certifikater giver en meget sikker autentifikationsmetode ved at sikre, at kun autoriserede enheder eller brugere med det korrekte certifikat kan etablere en fjernforbindelse.

IT-administratorer kan konfigurere Windows-certifikatbaseret autentificering gennem Active Directory eller tredjeparts virksomhedsløsninger, der binder certifikater til specifikke brugerkonti eller enheder. Denne metode fjerner behovet for statiske legitimationsoplysninger, samtidig med at den tilbyder et stærkt forsvar mod phishing og tyveri af legitimationsoplysninger.

Brug af smartkort eller biometrisk autentificering

Nogle Windows-udgaver understøtter smart card-godkendelse, hvilket kræver, at brugerne indsætter et fysisk kort i en læser, før de får adgang til en fjernsession. Smart cards gemmer krypterede legitimationsoplysninger og fungerer som en to-faktor-godkendelsesmekanisme, hvilket reducerer risikoen for uautoriseret adgang.

For en adgangskodefri brugeroplevelse giver biometriske autentifikationsmetoder som Windows Hello for Business brugerne mulighed for at logge ind ved hjælp af ansigtsgenkendelse eller fingeraftryksscanning. Denne tilgang er meget sikker, fordi biometriske data gemmes lokalt på enheden og ikke let kan stjæles eller kopieres. Virksomheder, der implementerer biometrisk autentifikation, drager fordel af både forbedret sikkerhed og strømlinet adgang til fjernskriveborde.

Konfiguration af Remote Access med engangsautentificeringstokener

IT-administratorer kan implementere engangskoder (OTP'er) eller multifaktorautentifikation (MFA) for at opretholde sikkerheden, mens behovet for permanente adgangskoder fjernes. OTP-løsninger genererer en unik, tidsfølsom kode, som brugerne skal indtaste, når de logger ind, hvilket forhindrer uautoriseret adgang, selvom nogen får kontrol over det fjerne system.

Med MFA kan brugere bekræfte deres identiteter gennem flere faktorer såsom en push-notifikation på en mobilapp, en hardware-sikkerhedsnøgle eller en SMS-kode. Løsninger som Microsoft Authenticator, Google Authenticator eller Duo Security giver problemfri integration med RDP, hvilket sikrer, at kun verificerede brugere får adgang til fjernskriveborde, samtidig med at afhængigheden af traditionelle adgangskoder elimineres.

Sikkerhedsforanstaltninger for passwordløs fjernskrivebordsadgang

Selv med alternative autentificeringsmetoder er det vigtigt at beskytte fjernskrivebords-miljøer mod uautoriseret adgang. At fjerne adgangskoder fjerner en sikkerhedsbarriere, hvilket gør det kritisk at implementere yderligere beskyttelseslag for at forhindre cybertrusler som brute-force angreb, session hijacking og uautoriserede indtrængen.

Brug af VPN'er til sikre fjernforbindelser

Et virtuelt privat netværk (VPN) skaber en krypteret tunnel mellem brugeren og den fjernskrivebord, hvilket forhindrer ondsindede aktører i at opsnappe RDP-trafik, loginoplysninger eller sessionsdata. Hvis adgang til RDP uden adgangskode er påkrævet, sikrer aktivering af en VPN-tunnel, at kun autentificerede brugere inden for det sikre netværk kan starte fjernskrivebordssessioner.

For at forbedre sikkerheden bør IT-teams konfigurere VPN-adgang med stærke krypteringsstandarder (såsom AES-256), håndhæve multifaktorautentifikation (MFA) for VPN-login og bruge split tunneling for at begrænse eksponeringen af følsom trafik. Implementering af VPN-løsninger i virksomhedskvalitet som OpenVPN, WireGuard eller IPsec VPN'er kan tilføje et ekstra lag af sikkerhed for organisationer, der har brug for fjernadgang uden adgangskoder.

Håndhævelse af IP-whitelisting

Ved at begrænse fjernskrivebordsadgang til specifikke IP-adresser kan organisationer forhindre uautoriserede brugere i at oprette forbindelse til virksomhedens systemer. IP-whitelisting sikrer, at kun foruddefinerede enheder, kontorer eller placeringer kan starte RDP-sessioner, hvilket betydeligt reducerer risikoen for eksterne angreb, botnets eller automatiserede brute-force loginforsøg.

Administratorer kan konfigurere Windows Firewall-regler eller netværksniveau adgangskontrolister (ACL'er) for kun at tillade godkendte IP-adresser. For brugere, der har brug for fjernadgang fra dynamiske eller hjemme-netværk, kan VPN-baseret hvidlistning implementeres for kun at give adgang til VPN-brugere, der er autentificeret inden for det virksomhedsmæssige netværk.

Revision og overvågning af fjernsessioner

Kontinuerlig overvågning og revision af RDP-sessioner kan hjælpe IT-teams med at opdage usædvanlig aktivitet, spore mislykkede loginforsøg og identificere uautoriseret adgang, før det fører til sikkerhedsbrud.

  • Windows Event Viewer: Logger alle fjernskrivebordsloginbegivenheder, herunder tidsstempler, mislykkede forsøg og oprindelige IP-adresser.
  • SIEM (Sikkerhedsoplysninger og hændelseshåndtering) løsninger: Avancerede sikkerhedsværktøjer som Splunk, Graylog eller Microsoft Sentinel tilbyder realtids trusselanalyse, anomaliopdagelse og automatisering af hændelsesrespons.
  • Sessionoptagelse: Nogle sikkerhedsløsninger til fjernskrivebord muliggør sessionoptagelse og afspilning, så administratorer kan gennemgå aktivitetslogger i tilfælde af mistanke om sikkerhedsbrud.

Implementering af disse sikkerhedsforanstaltninger sikrer, at adgang til RDP uden adgangskode ikke kompromitterer systemets integritet, samtidig med at det stadig muliggør problemfri remote access for betroede brugere.

Forbedring af sikkerhed og ydeevne med RDS-Tools

RDS-Tools tilbyder banebrydende løsninger til at forbedre sikkerhed, overvågning og ydeevne i fjernskrivebords-miljøer. Når der implementeres adgang uden adgangskode, kan administratorer udnytte RDS-Tools software at tilføje sikkerhedslag uden at stole på traditionelle adgangskoder.

Ved at bruge RDS-Tools kan virksomheder implementere sikre, passwordløse fjernskrivebords-miljøer, samtidig med at sikkerhedsstandarderne forbliver intakte.

Konklusion

At logge ind på en fjernskrivebord uden en adgangskode kan forbedre tilgængeligheden i kontrollerede miljøer, men kræver omhyggelig konfiguration og yderligere sikkerhedslag. Ved at udnytte Windows Group Policy, registreringsindstillinger og kommandolinjeautomatisering kan IT-professionelle implementere en adgangskodefri RDP-opsætning effektivt.

Del:

Facebook Twitter LinkedIn

Dit RDS Tools Team

Relaterede indlæg

back to top of the page icon