Изучение слоя безопасности RDP против Negotiate: Сравнение и недостатки

Опубликовано: DominiqueM

Опубликовано: 11 августа 2023

Изменено: 23 января 2025 года

RDS, Удаленные рабочие столы, полагается на RDP. На протяжении многих лет Протокол удаленного рабочего стола (RDP) был важным инструментом для удаленного доступа, включая RDS, позволяя пользователям подключаться к машинам Windows через сети. Обеспечение безопасности этих соединений имеет первостепенное значение для защиты конфиденциальных данных и предотвращения несанкционированного доступа.

В этой статье мы углубитесь в различия между двумя ключевыми компонентами безопасности RDP: уровень безопасности RDP и настройка Negotiate Мы также обсудим TLS и другие связанные аспекты безопасности, прежде чем указать на некоторые из великих преимуществ, которые предоставляет RDS-Tools Advanced Security в любую настройку RDS.

Понимание ландшафта безопасности RDP

RDP работает по модели клиент-сервер, позволяя пользователям управлять удаленными системами так, как если бы они были физически присутствующими. Безопасность соединений RDP включает два различных аспекта: как устанавливается соединение и как оно защищается.

Аутентификация и установление соединений

Перед началом подключения к удаленному рабочему столу серверы и клиенты должны аутентифицировать друг друга. Этот процесс критически важен для предотвращения несанкционированного доступа и, возможно, выявляет крупнейшую слабость протокола.

Вкратце, Negotiate и Security Layer RDP — это два механизма, используемых для достижения этой аутентификации. Третьим обычно является TLS. Security Layer менее безопасен, чем TLS, но не все устройства поддерживают TLS, хотя их становится все больше. Поэтому Negotiate предоставляет серверу возможность выбрать между Security Layer и TLS, процесс безопасности, доступный как для сервера, так и для клиента.

Слой безопасности RDP - Совместимая нативная безопасность

Слой безопасности RDP включает в себя встроенное шифрование RDP для защиты связи между клиентом и сервером RD Session Host. Слой безопасности является встроенным, и поэтому все машины под управлением Windows должны его поддерживать. Этот метод прост и эффективен, но он не обеспечивает аутентификацию сервера. К сожалению, эта нехватка аутентификации делает его менее безопасным. Я подробнее объясню, почему, ниже.

Безопасность транспортного уровня (TLS) - безопасность с предварительной аутентификацией

TLS является протоколом, используемым HTTPS для шифрования. Это шаг вперед от SSL (Secure Sockets Layer). Его функция заключается в проверке идентичности сервера и клиента перед установлением соединения между ними. Эта предварительная проверка делает его таким безопасным по сравнению с Secure Layer.

Согласование – Нахождение баланса между безопасностью и совместимостью

Среди этого параметр "Переговоры" является значением по умолчанию для соединений RDP. Он позволяет проводить переговоры между клиентом и сервером для определения наиболее безопасного метода аутентификации, поддерживаемого клиентом. Если клиент поддерживает безопасность транспортного уровня (TLS) версии 1.0 или выше, то используется TLS для аутентификации сервера. Если TLS не поддерживается, то применяется родное шифрование RDP, хотя аутентификация сервера в этом случае не выполняется.

Слой безопасности: шифрование, но этого достаточно?

Слой безопасности RDP использует встроенное шифрование RDP для защиты данных во время передачи. Однако, поскольку он не имеет аутентификации сервера, он крайне уязвим для атак "человек посередине". Действительно, если соединение было установлено с злоумышленником вместо предполагаемого клиента или сервера, и соединение уже скомпрометировано, никакой уровень шифрования не сможет обеспечить защиту.

Важно отметить, что использование уровня безопасности RDP исключает использование аутентификации на уровне сети (NLA), другого более безопасного метода подключения.

Настройка переговоров: Гибкость и базовая безопасность

В качестве настройки, Negotiate предлагает потенциально улучшенную безопасность, выбирая наиболее безопасный метод аутентификации, поддерживаемый клиентом. Если TLS доступен, он используется для аутентификации сервера. Если нет, используется встроенное шифрование RDP. Для того чтобы эта настройка обеспечивала лучшую безопасность, необходимо убедиться, что TLS поддерживается как на стороне клиента, так и на стороне сервера.

Безопасность транспортного уровня: шифрование между проверенными сторонами

Установив TLS в качестве уровня безопасности, шифрование гарантируется. Имейте в виду, что соединение не будет установлено, если TLS не поддерживается. Некоторые клиенты могут, следовательно, не иметь возможности удаленно получить доступ к определенным серверам из-за того, что один из них или другой не соответствует требованиям. Тем не менее, это небольшая цена за душевное спокойствие.

Выбор правильного уровня безопасности для вашей инфраструктуры RDS

Как вы можете видеть, выбор подходящего уровня безопасности зависит от ваших конкретных потребностей и окружения. Для повышения безопасности я рекомендую TLS или, по крайней мере, Negotiate. Неудивительно, что TLS стал общепринятым. Этот подход, сочетающий надежное шифрование с аутентификацией сервера, минимизирует уязвимости.

Лучшие практики для обеспечения безопасности RDP-соединений

Чтобы укрепить безопасность ваших RDP-соединений, рассмотрите возможность внедрения этих лучших практик:

Используйте надежные пароли: Использование сложных паролей является ключом к предотвращению атак методом перебора.
Ограничения брандмауэра: Настройте брандмауэры для разрешения доступа по RDP только с доверенных IP-адресов или диапазонов.
Многофакторная аутентификация (MFA): Реализуйте 2FA, чтобы добавить дополнительный уровень безопасности, уменьшая риск записи клавиш и несанкционированного доступа.
Включить автоматические обновления: Держите операционные системы обновленными, чтобы исправить известные уязвимости и повысить безопасность. Действительно, помните, что поставщики ОС и программного обеспечения делают все возможное, чтобы быть в курсе в этой области, чтобы оставаться на шаг впереди хакеров и злонамеренных атак.

Это всего лишь некоторые основные рекомендации, и вы обнаружите, что существует множество других способов укрепления вашей инфраструктуры против кибератак.

RDS-Advanced Security - Непревзойденная киберзащита RDS

Например, вот наш инструмент для обеспечения первоклассной безопасности для вашего Инфраструктура удаленных рабочих столов (RDS) тогда наше комплексное решение кибербезопасности. RDS Advanced Security - это надежный набор инструментов. Он сочетает в себе передовые функции для создания непроницаемой защиты от внешних угроз.

Ключевые особенности:

Всеобъемлющая защита: Воспользуйтесь набором из 9 функций безопасности, которые защищают каждый аспект вашей инфраструктуры RDS.
Безопасность удаленного рабочего стола: Немедленно внедрите продвинутые протоколы безопасности на ваши удаленные серверы после установки.
Управление IP Легко управляйте белыми и черными списками IP-адресов для детального контроля.
Гибкий контроль доступа: Определите параметры удаленной работы без усилий, регулируя доступ в зависимости от местоположения, времени и устройства.

Преимущества:

Адаптивная безопасность: Настройте уровни безопасности в соответствии с уникальными требованиями вашей организации.
Бесперебойная удаленная работа: Обеспечьте безопасный переход к удаленной работе на фоне роста киберугроз.
Долгосрочная ценность: Постоянные лицензии гарантия долговременной защиты , предлагая исключительную ценность.

Заключение

Выбор между RDP Security Layer, TLS и Negotiate имеет значительные последствия для безопасности ваших удаленных подключений к рабочему столу. В то время как RDP Security Layer предлагает простоту, а TLS обеспечивает более безопасные коммуникации, метод Negotiate предоставляет сбалансированный подход, согласовывая наиболее безопасный доступный метод аутентификации.

Понимая это и вашу инфраструктуру, вы готовы реализовать самые безопасные настройки для вашего предприятия. С добавлением упомянутых лучших практик сейчас самое время обеспечить безопасность ваших RDP-соединений и защитить ваши конфиденциальные данные от потенциальных угроз. Вы можете всесторонне и без усилий защитить свою инфраструктуру RDS. Защитите свои удаленные серверы с RDS Advanced Security начните с бесплатной пробной версии сегодня.

‍

Как удаленно управлять компьютером: выбор лучших инструментов

Для быстрых сеансов поддержки, долгосрочной удаленной работы или административных задач удаленный доступ и управление являются универсальным инструментом. Удаленное управление компьютером позволяет вам получать доступ и управлять другим компьютером из другого места. Независимо от того, предоставляете ли вы ежедневно техническую поддержку, получаете доступ к файлам или управляете серверами, или вам это потребуется в будущем, ознакомьтесь с тем, как удаленно управлять компьютером, проверяя основные методы и их основные функции, чтобы выяснить, какой из них может лучше соответствовать вашей инфраструктуре, использованию и требованиям безопасности.