อะไรคือ Remote Desktop? ทีม IT ใช้เพื่อดำเนินการและสนับสนุน RDS อย่างไรในระดับใหญ่
อะไรคือ Remote Desktop ในสภาพแวดล้อม RDS ที่แท้จริง? เรียนรู้ว่าทีม IT ใช้ RDP ทุกวันเพื่อดำเนินการ ป้องกัน และตรวจสอบ Remote Desktop Services ในระดับใหญ่ได้อย่างไร
)
)
คุณจะสำรวจการตั้งค่า Windows สำหรับการเข้าถึงโดยไม่ใช้รหัสผ่านได้อย่างไร?
Windows ไม่อนุญาตให้การเชื่อมต่อ RDP โดยไม่มีรหัสผ่านตามค่าเริ่มต้น เนื่องจากถือว่ามีความเสี่ยงด้านความปลอดภัย อย่างไรก็ตาม สำหรับเครือข่ายส่วนตัวและสภาพแวดล้อมที่ควบคุมได้ ข้อจำกัดนี้สามารถถูกยกเลิกได้โดยการปรับเปลี่ยนเฉพาะบางอย่างที่ นโยบายกลุ่ม, ตัวแก้ไขรีจิสทรี, และการตั้งค่าการตรวจสอบสิทธิ์เครือข่าย .
การใช้ Group Policy Editor เพื่ออนุญาตให้มีรหัสผ่านว่าง
การตั้งค่ากลุ่มนโยบายควบคุมกลไกความปลอดภัยหลายอย่างของ Windows โดยการปรับแต่งนโยบายบางอย่าง เราสามารถเปิดใช้งานการเข้าถึง RDP โดยไม่ต้องใช้รหัสผ่าน
ขั้นตอนการกำหนดนโยบายกลุ่มสำหรับ RDP ที่ไม่มีรหัสผ่าน
-
เปิดตัวแก้ไขนโยบายกลุ่ม:
- กด Win + R, พิมพ์ gpedit.msc แล้วกด Enter.
-
ไปที่นโยบายความปลอดภัยสำหรับ Remote Desktop:
- ไปที่การกำหนดค่าคอมพิวเตอร์ → เทมเพลตการบริหารจัดการ → ส่วนประกอบของ Windows → บริการเดสก์ท็อประยะไกล → โฮสต์เซสชันเดสก์ท็อประยะไกล → ความปลอดภัย.
-
ปิดการตรวจสอบระดับเครือข่าย (NLA):
- ค้นหา "ต้องการการตรวจสอบสิทธิ์ผู้ใช้สำหรับการเชื่อมต่อระยะไกลโดยใช้การตรวจสอบสิทธิ์ระดับเครือข่าย"
- ตั้งค่าเป็น "ปิดการใช้งาน"
-
นำไปใช้กับนโยบายและเริ่มต้นใหม่:
- ปิดตัวแก้ไขนโยบายกลุ่มและรีสตาร์ทระบบของคุณเพื่อใช้การเปลี่ยนแปลง
ทำไมสิ่งนี้จึงจำเป็น? การตรวจสอบสิทธิ์ระดับเครือข่าย (NLA) บังคับให้มีการตรวจสอบตัวตนก่อนที่จะเริ่มต้นเซสชัน ซึ่งต้องการรหัสผ่าน การปิดใช้งานจะอนุญาตให้ผู้ใช้เชื่อมต่อโดยไม่ต้องให้ข้อมูลประจำตัว
ปรับแต่ง Windows Registry เพื่อเปิดใช้งานรหัสผ่านว่าง
Windows Registry เป็นเครื่องมือที่ทรงพลังอีกอย่างหนึ่งในการปรับเปลี่ยนพฤติกรรมของระบบ โดยการเปลี่ยนแปลงค่าที่เฉพาะเจาะจงในรีจิสทรี เราสามารถอนุญาตการเข้าถึงเดสก์ท็อประยะไกลโดยไม่ต้องใช้รหัสผ่าน
ขั้นตอนในการแก้ไขการตั้งค่าของรีจิสทรี
-
เปิดเครื่องมือแก้ไขรีจิสทรี:
- กด Win + R, พิมพ์ regedit แล้วกด Enter.
-
ไปที่การตั้งค่าความปลอดภัย:
-
ไปที่:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
-
ไปที่:
-
แก้ไขคีย์ LimitBlankPasswordUse:
- ค้นหาขีดจำกัดการใช้รหัสผ่านว่าง
- ดับเบิลคลิกที่คีย์และเปลี่ยนค่าเป็น 0 จาก 1
- คลิก OK เพื่อบันทึก
-
เริ่มต้นคอมพิวเตอร์ใหม่:
- รีบูตระบบเพื่อให้แน่ใจว่าการเปลี่ยนแปลงมีผลบังคับใช้
การเปลี่ยนแปลงนี้ทำอะไร? Windows โดยค่าเริ่มต้นจะบล็อกการเข้าสู่ระบบเครือข่ายด้วยรหัสผ่านว่างเพื่อเหตุผลด้านความปลอดภัย การเปลี่ยนแปลงคีย์รีจิสทรีนี้จะอนุญาตให้เข้าสู่ระบบระยะไกลได้แม้ว่าจะไม่มีการตั้งค่ารหัสผ่านในบัญชี
คุณจะทำให้การตั้งค่าอัตโนมัติผ่านทางบรรทัดคำสั่งได้อย่างไร?
สำหรับผู้ดูแลระบบ IT ที่จัดการเครื่องหลายเครื่อง การทำการเปลี่ยนแปลงเหล่านี้ด้วยตนเองอาจใช้เวลานาน แทนที่จะ การทำงานอัตโนมัติผ่านบรรทัดคำสั่ง สามารถใช้เพื่อปรับใช้การตั้งค่าเหล่านี้ได้อย่างรวดเร็ว
ดำเนินการคำสั่งเพื่อแก้ไขรีจิสทรี
เรียกใช้คำสั่งต่อไปนี้ใน Command Prompt (ด้วยสิทธิ์ผู้ดูแลระบบ) เพื่อเปิดใช้งานการเข้าถึง RDP โดยไม่ต้องใช้รหัสผ่าน:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 0 /f
การปิดการใช้งานการตรวจสอบระดับเครือข่ายผ่าน PowerShell
PowerShell สามารถใช้ในการทำให้กระบวนการปิดการใช้งาน NLA อัตโนมัติ:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication -Value 0
การเรียกใช้คำสั่งเหล่านี้จะทำให้การตั้งค่าถูกนำไปใช้ทันทีในหลายเครื่องโดยไม่ต้องนำทางผ่าน GUI ด้วยตนเอง
วิธีการทางเลือกสำหรับการเข้าถึงที่ปลอดภัยโดยไม่ใช้รหัสผ่านมีอะไรบ้าง?
การลบการตรวจสอบสิทธิ์ด้วยรหัสผ่านอาจเพิ่มความสะดวกสบาย แต่สิ่งสำคัญคือต้องรักษาความปลอดภัยโดยการใช้วิธีการตรวจสอบสิทธิ์ทางเลือก วิธีการเหล่านี้ช่วยให้ผู้ใช้ไม่ต้องพึ่งพารหัสผ่านอีกต่อไป แต่ยังคงยืนยันตัวตนของพวกเขาอย่างปลอดภัย ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
การนำไปใช้การตรวจสอบสิทธิ์โดยใช้ใบรับรอง
แทนที่รหัสผ่านแบบดั้งเดิม องค์กรสามารถใช้ใบรับรองดิจิทัลที่ออกโดยหน่วยงานรับรองที่เชื่อถือได้ (CA) เพื่อยืนยันเซสชัน RDP ใบรับรองจะให้วิธีการยืนยันตัวตนที่มีความปลอดภัยสูงโดยการรับรองว่าอุปกรณ์หรือผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่มีใบรับรองที่ถูกต้องสามารถสร้างการเชื่อมต่อระยะไกลได้
ผู้ดูแลระบบ IT สามารถกำหนดค่าการรับรองความถูกต้องแบบใช้ใบรับรองของ Windows ผ่าน Active Directory หรือโซลูชันของบริษัทภายนอก โดยการผูกใบรับรองกับบัญชีผู้ใช้หรืออุปกรณ์เฉพาะ วิธีนี้ช่วยขจัดความจำเป็นในการใช้ข้อมูลประจำตัวแบบคงที่ในขณะที่ยังเสนอการป้องกันที่แข็งแกร่งต่อการฟิชชิงและการขโมยข้อมูลประจำตัว
การใช้บัตรอัจฉริยะหรือการตรวจสอบสิทธิ์ทางชีวภาพ
บางรุ่นของ Windows รองรับการตรวจสอบสิทธิ์ด้วยบัตรสมาร์ทการ์ด ซึ่งต้องการให้ผู้ใช้ใส่บัตรจริงลงในเครื่องอ่านก่อนที่จะเข้าถึงเซสชันระยะไกล บัตรสมาร์ทการ์ดเก็บข้อมูลรับรองที่เข้ารหัสและทำงานเป็นกลไกการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เพื่อลดความเสี่ยงของการเข้าถึงที่ไม่ได้รับอนุญาต
เพื่อประสบการณ์การใช้งานที่ไม่ต้องใช้รหัสผ่าน วิธีการตรวจสอบสิทธิ์ทางชีวภาพ เช่น Windows Hello for Business ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบโดยใช้การจดจำใบหน้าหรือการสแกนลายนิ้วมือ วิธีการนี้มีความปลอดภัยสูงเนื่องจากข้อมูลชีวภาพจะถูกเก็บไว้ในอุปกรณ์และไม่สามารถถูกขโมยหรือทำซ้ำได้ง่าย ธุรกิจที่นำการตรวจสอบสิทธิ์ทางชีวภาพมาใช้จะได้รับประโยชน์จากความปลอดภัยที่เพิ่มขึ้นและการเข้าถึงเดสก์ท็อประยะไกลที่ราบรื่น
การกำหนดค่าการเข้าถึงระยะไกลด้วยโทเค็นการตรวจสอบสิทธิ์แบบใช้ครั้งเดียว
ผู้ดูแลระบบ IT สามารถใช้รหัสผ่านแบบใช้ครั้งเดียว (OTP) หรือการตรวจสอบสิทธิ์หลายปัจจัย (MFA) เพื่อรักษาความปลอดภัยในขณะที่ลบความจำเป็นในการใช้รหัสผ่านถาวร โซลูชัน OTP จะสร้างรหัสที่ไม่ซ้ำกันและมีความไวต่อเวลา ซึ่งผู้ใช้ต้องป้อนเมื่อเข้าสู่ระบบ เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตแม้ว่าจะมีใครบางคนควบคุมระบบระยะไกลได้
ด้วย MFA ผู้ใช้สามารถตรวจสอบตัวตนของตนผ่านหลายปัจจัย เช่น การแจ้งเตือนแบบพุชในแอปมือถือ กุญแจรักษาความปลอดภัยฮาร์ดแวร์ หรือรหัส SMS โซลูชันต่างๆ เช่น Microsoft Authenticator, Google Authenticator หรือ Duo Security ให้การรวมเข้ากับ RDP อย่างราบรื่น โดยมั่นใจว่าผู้ใช้ที่ได้รับการตรวจสอบแล้วเท่านั้นที่จะเข้าถึงเดสก์ท็อประยะไกลได้ ในขณะที่กำจัดการพึ่งพารหัสผ่านแบบดั้งเดิม
มาตรการด้านความปลอดภัยสำหรับการเข้าถึง Remote Desktop โดยไม่ใช้รหัสผ่านคืออะไร?
แม้จะมีวิธีการตรวจสอบสิทธิ์ทางเลือก แต่การปกป้องสภาพแวดล้อมการเข้าถึงระยะไกลจากการเข้าถึงที่ไม่ได้รับอนุญาตนั้นเป็นสิ่งสำคัญ การกำจัดรหัสผ่านจะทำให้มีอุปสรรคด้านความปลอดภัยลดลง ซึ่งทำให้จำเป็นต้องมีการดำเนินการชั้นการป้องกันเพิ่มเติมเพื่อป้องกันภัยคุกคามทางไซเบอร์ เช่น การโจมตีแบบ brute-force การแฮ็กเซสชัน และการบุกรุกที่ไม่ได้รับอนุญาต
การใช้ VPN สำหรับการเชื่อมต่อระยะไกลที่ปลอดภัย
เครือข่ายส่วนตัวเสมือน (VPN) สร้างอุโมงค์ที่เข้ารหัสระหว่างผู้ใช้และเดสก์ท็อประยะไกล ป้องกันไม่ให้ผู้ไม่หวังดีดักจับการรับส่งข้อมูล RDP ข้อมูลประจำตัวในการเข้าสู่ระบบ หรือข้อมูลเซสชัน หากต้องการการเข้าถึง RDP โดยไม่ใช้รหัสผ่าน การเปิดใช้งานอุโมงค์ VPN จะช่วยให้ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ภายในเครือข่ายที่ปลอดภัยเท่านั้นที่สามารถเริ่มเซสชันเดสก์ท็อประยะไกลได้
เพื่อเสริมสร้างความปลอดภัย ทีม IT ควรกำหนดการเข้าถึง VPN ด้วยมาตรฐานการเข้ารหัสที่แข็งแกร่ง (เช่น AES-256) บังคับใช้การตรวจสอบสิทธิ์หลายปัจจัย (MFA) สำหรับการเข้าสู่ระบบ VPN และใช้การแบ่งช่องทางเพื่อลดการเปิดเผยข้อมูลที่ละเอียดอ่อน การติดตั้งโซลูชัน VPN ระดับองค์กร เช่น OpenVPN, WireGuard หรือ IPsec VPN สามารถเพิ่มชั้นความปลอดภัยเพิ่มเติมสำหรับองค์กรที่ต้องการการเข้าถึงระยะไกลโดยไม่ต้องใช้รหัสผ่าน
การบังคับใช้การอนุญาต IP
โดยการจำกัดการเข้าถึงเดสก์ท็อประยะไกลไปยังที่อยู่ IP ที่เฉพาะเจาะจง องค์กรสามารถป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเชื่อมต่อกับระบบของบริษัท การอนุญาตที่อยู่ IP จะทำให้มั่นใจได้ว่าเฉพาะอุปกรณ์ สำนักงาน หรือสถานที่ที่กำหนดไว้ล่วงหน้าสามารถเริ่มต้นเซสชัน RDP ได้ ซึ่งจะช่วยลดความเสี่ยงจากการโจมตีจากภายนอก บอทเน็ต หรือการพยายามเข้าสู่ระบบแบบ brute-force อัตโนมัติอย่างมีนัยสำคัญ
ผู้ดูแลระบบสามารถกำหนดกฎไฟร์วอลล์ของ Windows หรือรายการควบคุมการเข้าถึงระดับเครือข่าย (ACLs) เพื่ออนุญาตเฉพาะที่อยู่ IP ที่ได้รับการอนุมัติ สำหรับผู้ใช้ที่ต้องการการเข้าถึงระยะไกลจากเครือข่ายที่เปลี่ยนแปลงหรือเครือข่ายที่บ้าน สามารถใช้การอนุญาตผ่าน VPN เพื่อให้การเข้าถึงเฉพาะผู้ใช้ VPN ที่ได้รับการตรวจสอบในเครือข่ายของบริษัท
การตรวจสอบและติดตามเซสชันระยะไกล
การตรวจสอบและติดตามเซสชัน RDP อย่างต่อเนื่องสามารถช่วยให้ทีม IT ตรวจจับกิจกรรมที่ผิดปกติ ติดตามความพยายามในการเข้าสู่ระบบที่ล้มเหลว และระบุการเข้าถึงที่ไม่ได้รับอนุญาตก่อนที่จะนำไปสู่การละเมิดความปลอดภัย
- Windows Event Viewer: บันทึกเหตุการณ์การเข้าสู่ระบบเดสก์ท็อประยะไกลทั้งหมด รวมถึงเวลาที่เกิดเหตุการณ์ ความพยายามที่ล้มเหลว และที่อยู่ IP ที่มาของเหตุการณ์
- โซลูชัน SIEM (การจัดการข้อมูลความปลอดภัยและเหตุการณ์): เครื่องมือความปลอดภัยขั้นสูง เช่น Splunk, Graylog หรือ Microsoft Sentinel ให้การวิเคราะห์ภัยคุกคามแบบเรียลไทม์ การตรวจจับความผิดปกติ และการทำงานอัตโนมัติในการตอบสนองต่อเหตุการณ์
- การบันทึกเซสชัน: โซลูชันความปลอดภัยของเดสก์ท็อประยะไกลบางตัวช่วยให้สามารถบันทึกและเล่นเซสชันได้ ทำให้ผู้ดูแลระบบสามารถตรวจสอบบันทึกกิจกรรมในกรณีที่สงสัยว่ามีการละเมิดความปลอดภัยเกิดขึ้น
การดำเนินการตามมาตรการด้านความปลอดภัยเหล่านี้จะช่วยให้การเข้าถึง RDP โดยไม่ใช้รหัสผ่านไม่ทำให้ความสมบูรณ์ของระบบเสียหาย ในขณะที่ยังอนุญาตให้มีการเข้าถึงระยะไกลอย่างราบรื่นสำหรับผู้ใช้ที่เชื่อถือได้
การเสริมสร้างความปลอดภัยและประสิทธิภาพด้วย RDS-Tools
RDS-Tools ให้โซลูชันที่ทันสมัยเพื่อเพิ่มความปลอดภัย การตรวจสอบ และประสิทธิภาพในสภาพแวดล้อมการเข้าถึงระยะไกล เมื่อดำเนินการเข้าถึงโดยไม่ใช้รหัสผ่าน ผู้ดูแลระบบสามารถใช้ประโยชน์จาก RDS-Tools ซอฟต์แวร์ เพื่อเพิ่มชั้นความปลอดภัยโดยไม่ต้องพึ่งพารหัสผ่านแบบดั้งเดิม
การใช้ RDS-Tools ช่วยให้ธุรกิจสามารถสร้างสภาพแวดล้อมการเข้าถึงเดสก์ท็อประยะไกลที่ปลอดภัยและไม่ต้องใช้รหัสผ่าน ในขณะที่ยังคงรักษามาตรฐานความปลอดภัยให้คงอยู่
สรุป
การเข้าสู่ระบบเดสก์ท็อประยะไกลโดยไม่ใช้รหัสผ่านสามารถปรับปรุงการเข้าถึงในสภาพแวดล้อมที่ควบคุมได้ แต่ต้องการการกำหนดค่าที่รอบคอบและชั้นความปลอดภัยเพิ่มเติม โดยการใช้ Windows Group Policy, การตั้งค่า Registry และการทำงานอัตโนมัติผ่าน command-line ผู้เชี่ยวชาญด้าน IT สามารถดำเนินการตั้งค่า RDP ที่ไม่มีรหัสผ่านได้อย่างมีประสิทธิภาพ
)
)
)
