วิธีเข้าสู่ระบบ Remote Desktop โดยไม่ต้องใช้รหัสผ่าน

สำรวจการตั้งค่า Windows สำหรับการเข้าถึงโดยไม่ใช้รหัสผ่าน

Windows ไม่อนุญาตให้การเชื่อมต่อ RDP โดยไม่มีรหัสผ่านตามค่าเริ่มต้น เนื่องจากถือว่ามีความเสี่ยงด้านความปลอดภัย อย่างไรก็ตาม สำหรับเครือข่ายส่วนตัวและสภาพแวดล้อมที่ควบคุมได้ ข้อจำกัดนี้สามารถถูกยกเลิกได้โดยการปรับเปลี่ยนเฉพาะบางอย่างที่ นโยบายกลุ่ม, ตัวแก้ไขรีจิสทรี, และการตั้งค่าการตรวจสอบสิทธิ์เครือข่าย .

การใช้ Group Policy Editor เพื่ออนุญาตให้มีรหัสผ่านว่าง

การตั้งค่ากลุ่มนโยบายควบคุมกลไกความปลอดภัยหลายอย่างของ Windows โดยการปรับแต่งนโยบายบางอย่าง เราสามารถเปิดใช้งานการเข้าถึง RDP โดยไม่ต้องใช้รหัสผ่าน

ขั้นตอนการกำหนดนโยบายกลุ่มสำหรับ RDP ที่ไม่มีรหัสผ่าน

1. เปิดตัวแก้ไขนโยบายกลุ่ม:
   • กด Win + R, พิมพ์ gpedit.msc แล้วกด Enter.
2. ไปที่นโยบายความปลอดภัยสำหรับ Remote Desktop:
   • ไปที่การกำหนดค่าคอมพิวเตอร์ → เทมเพลตการบริหารจัดการ → ส่วนประกอบของ Windows → บริการเดสก์ท็อประยะไกล → โฮสต์เซสชันเดสก์ท็อประยะไกล → ความปลอดภัย.
3. ปิดการตรวจสอบระดับเครือข่าย (NLA):
   • ค้นหา "ต้องการการตรวจสอบสิทธิ์ผู้ใช้สำหรับการเชื่อมต่อระยะไกลโดยใช้การตรวจสอบสิทธิ์ระดับเครือข่าย"
   • ตั้งค่าเป็น "ปิดการใช้งาน"
4. นำไปใช้กับนโยบายและเริ่มต้นใหม่:
   • ปิดตัวแก้ไขนโยบายกลุ่มและรีสตาร์ทระบบของคุณเพื่อใช้การเปลี่ยนแปลง

ทำไมสิ่งนี้จึงจำเป็น? การตรวจสอบสิทธิ์ระดับเครือข่าย (NLA) บังคับให้มีการตรวจสอบตัวตนก่อนที่จะเริ่มต้นเซสชัน ซึ่งต้องการรหัสผ่าน การปิดใช้งานจะอนุญาตให้ผู้ใช้เชื่อมต่อโดยไม่ต้องให้ข้อมูลประจำตัว

ปรับแต่ง Windows Registry เพื่อเปิดใช้งานรหัสผ่านว่าง

Windows Registry เป็นเครื่องมือที่ทรงพลังอีกอย่างหนึ่งในการปรับเปลี่ยนพฤติกรรมของระบบ โดยการเปลี่ยนแปลงค่าที่เฉพาะเจาะจงในรีจิสทรี เราสามารถอนุญาตการเข้าถึงเดสก์ท็อประยะไกลโดยไม่ต้องใช้รหัสผ่าน

ขั้นตอนในการแก้ไขการตั้งค่าของรีจิสทรี

1. เปิดเครื่องมือแก้ไขรีจิสทรี:
   • กด Win + R, พิมพ์ regedit แล้วกด Enter.
2. ไปที่การตั้งค่าความปลอดภัย:
   • ไปที่:
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. แก้ไขคีย์ LimitBlankPasswordUse:
   • ค้นหาขีดจำกัดการใช้รหัสผ่านว่าง
   • ดับเบิลคลิกที่คีย์และเปลี่ยนค่าเป็น 0 จาก 1
   • คลิก OK เพื่อบันทึก
4. เริ่มต้นคอมพิวเตอร์ใหม่:
   • รีบูตระบบเพื่อให้แน่ใจว่าการเปลี่ยนแปลงมีผลบังคับใช้

การเปลี่ยนแปลงนี้ทำอะไร? Windows โดยค่าเริ่มต้นจะบล็อกการเข้าสู่ระบบเครือข่ายด้วยรหัสผ่านว่างเพื่อเหตุผลด้านความปลอดภัย การเปลี่ยนแปลงคีย์รีจิสทรีนี้จะอนุญาตให้เข้าสู่ระบบระยะไกลได้แม้ว่าจะไม่มีการตั้งค่ารหัสผ่านในบัญชี

การตั้งค่าอัตโนมัติผ่านทางบรรทัดคำสั่ง

สำหรับผู้ดูแลระบบ IT ที่จัดการเครื่องหลายเครื่อง การทำการเปลี่ยนแปลงเหล่านี้ด้วยตนเองอาจใช้เวลานาน แทนที่จะ การทำงานอัตโนมัติผ่านบรรทัดคำสั่ง สามารถใช้เพื่อปรับใช้การตั้งค่าเหล่านี้ได้อย่างรวดเร็ว

ดำเนินการคำสั่งเพื่อแก้ไขรีจิสทรี

เรียกใช้คำสั่งต่อไปนี้ใน Command Prompt (ด้วยสิทธิ์ผู้ดูแลระบบ) เพื่อเปิดใช้งานการเข้าถึง RDP โดยไม่ต้องใช้รหัสผ่าน:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 0 /f

การปิดการใช้งานการตรวจสอบระดับเครือข่ายผ่าน PowerShell

PowerShell สามารถใช้ในการทำให้กระบวนการปิดการใช้งาน NLA อัตโนมัติ:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication -Value 0

การเรียกใช้คำสั่งเหล่านี้จะทำให้การตั้งค่าถูกนำไปใช้ทันทีในหลายเครื่องโดยไม่ต้องนำทางผ่าน GUI ด้วยตนเอง

วิธีการทางเลือกสำหรับการเข้าถึงที่ปลอดภัยโดยไม่ใช้รหัสผ่าน

การลบการตรวจสอบสิทธิ์ด้วยรหัสผ่านอาจเพิ่มความสะดวกสบาย แต่สิ่งสำคัญคือต้องรักษาความปลอดภัยโดยการใช้วิธีการตรวจสอบสิทธิ์ทางเลือก วิธีการเหล่านี้ช่วยให้ผู้ใช้ไม่ต้องพึ่งพารหัสผ่านอีกต่อไป แต่ยังคงยืนยันตัวตนของพวกเขาอย่างปลอดภัย ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต

การนำไปใช้การตรวจสอบสิทธิ์โดยใช้ใบรับรอง

แทนที่รหัสผ่านแบบดั้งเดิม องค์กรสามารถใช้ใบรับรองดิจิทัลที่ออกโดยหน่วยงานรับรองที่เชื่อถือได้ (CA) เพื่อยืนยันเซสชัน RDP ใบรับรองจะให้วิธีการยืนยันตัวตนที่มีความปลอดภัยสูงโดยการรับรองว่าอุปกรณ์หรือผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่มีใบรับรองที่ถูกต้องสามารถสร้างการเชื่อมต่อระยะไกลได้

ผู้ดูแลระบบ IT สามารถกำหนดค่าการรับรองความถูกต้องแบบใช้ใบรับรองของ Windows ผ่าน Active Directory หรือโซลูชันของบริษัทภายนอก โดยการผูกใบรับรองกับบัญชีผู้ใช้หรืออุปกรณ์เฉพาะ วิธีนี้ช่วยขจัดความจำเป็นในการใช้ข้อมูลประจำตัวแบบคงที่ในขณะที่ยังเสนอการป้องกันที่แข็งแกร่งต่อการฟิชชิงและการขโมยข้อมูลประจำตัว

การใช้บัตรอัจฉริยะหรือการตรวจสอบสิทธิ์ทางชีวภาพ

บางรุ่นของ Windows รองรับการตรวจสอบสิทธิ์ด้วยบัตรสมาร์ทการ์ด ซึ่งต้องการให้ผู้ใช้ใส่บัตรจริงลงในเครื่องอ่านก่อนที่จะเข้าถึงเซสชันระยะไกล บัตรสมาร์ทการ์ดเก็บข้อมูลรับรองที่เข้ารหัสและทำงานเป็นกลไกการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เพื่อลดความเสี่ยงของการเข้าถึงที่ไม่ได้รับอนุญาต

เพื่อประสบการณ์การใช้งานที่ไม่ต้องใช้รหัสผ่าน วิธีการตรวจสอบสิทธิ์ทางชีวภาพ เช่น Windows Hello for Business ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบโดยใช้การจดจำใบหน้าหรือการสแกนลายนิ้วมือ วิธีการนี้มีความปลอดภัยสูงเนื่องจากข้อมูลชีวภาพจะถูกเก็บไว้ในอุปกรณ์และไม่สามารถถูกขโมยหรือทำซ้ำได้ง่าย ธุรกิจที่นำการตรวจสอบสิทธิ์ทางชีวภาพมาใช้จะได้รับประโยชน์จากความปลอดภัยที่เพิ่มขึ้นและการเข้าถึงเดสก์ท็อประยะไกลที่ราบรื่น

การกำหนดค่าการเข้าถึงระยะไกลด้วยโทเค็นการตรวจสอบสิทธิ์แบบใช้ครั้งเดียว

ผู้ดูแลระบบ IT สามารถใช้รหัสผ่านแบบใช้ครั้งเดียว (OTP) หรือการตรวจสอบสิทธิ์หลายปัจจัย (MFA) เพื่อรักษาความปลอดภัยในขณะที่ลบความจำเป็นในการใช้รหัสผ่านถาวร โซลูชัน OTP จะสร้างรหัสที่ไม่ซ้ำกันและมีความไวต่อเวลา ซึ่งผู้ใช้ต้องป้อนเมื่อเข้าสู่ระบบ เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตแม้ว่าจะมีใครบางคนควบคุมระบบระยะไกลได้

ด้วย MFA ผู้ใช้สามารถตรวจสอบตัวตนของตนผ่านหลายปัจจัย เช่น การแจ้งเตือนแบบพุชในแอปมือถือ กุญแจรักษาความปลอดภัยฮาร์ดแวร์ หรือรหัส SMS โซลูชันต่างๆ เช่น Microsoft Authenticator, Google Authenticator หรือ Duo Security ให้การรวมเข้ากับ RDP อย่างราบรื่น โดยมั่นใจว่าผู้ใช้ที่ได้รับการตรวจสอบแล้วเท่านั้นที่จะเข้าถึงเดสก์ท็อประยะไกลได้ ในขณะที่กำจัดการพึ่งพารหัสผ่านแบบดั้งเดิม

มาตรการรักษาความปลอดภัยสำหรับการเข้าถึง Remote Desktop โดยไม่ใช้รหัสผ่าน

แม้จะมีวิธีการตรวจสอบสิทธิ์ทางเลือก แต่การปกป้องสภาพแวดล้อมการเข้าถึงระยะไกลจากการเข้าถึงที่ไม่ได้รับอนุญาตนั้นเป็นสิ่งสำคัญ การกำจัดรหัสผ่านจะทำให้มีอุปสรรคด้านความปลอดภัยลดลง ซึ่งทำให้จำเป็นต้องมีการดำเนินการชั้นการป้องกันเพิ่มเติมเพื่อป้องกันภัยคุกคามทางไซเบอร์ เช่น การโจมตีแบบ brute-force การแฮ็กเซสชัน และการบุกรุกที่ไม่ได้รับอนุญาต

การใช้ VPN สำหรับการเชื่อมต่อระยะไกลที่ปลอดภัย

เครือข่ายส่วนตัวเสมือน (VPN) สร้างอุโมงค์ที่เข้ารหัสระหว่างผู้ใช้และเดสก์ท็อประยะไกล ป้องกันไม่ให้ผู้ไม่หวังดีดักจับการรับส่งข้อมูล RDP ข้อมูลประจำตัวในการเข้าสู่ระบบ หรือข้อมูลเซสชัน หากต้องการการเข้าถึง RDP โดยไม่ใช้รหัสผ่าน การเปิดใช้งานอุโมงค์ VPN จะช่วยให้ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ภายในเครือข่ายที่ปลอดภัยเท่านั้นที่สามารถเริ่มเซสชันเดสก์ท็อประยะไกลได้

เพื่อเสริมสร้างความปลอดภัย ทีม IT ควรกำหนดการเข้าถึง VPN ด้วยมาตรฐานการเข้ารหัสที่แข็งแกร่ง (เช่น AES-256) บังคับใช้การตรวจสอบสิทธิ์หลายปัจจัย (MFA) สำหรับการเข้าสู่ระบบ VPN และใช้การแบ่งช่องทางเพื่อลดการเปิดเผยข้อมูลที่ละเอียดอ่อน การติดตั้งโซลูชัน VPN ระดับองค์กร เช่น OpenVPN, WireGuard หรือ IPsec VPN สามารถเพิ่มชั้นความปลอดภัยเพิ่มเติมสำหรับองค์กรที่ต้องการการเข้าถึงระยะไกลโดยไม่ต้องใช้รหัสผ่าน

การบังคับใช้การอนุญาต IP

โดยการจำกัดการเข้าถึงเดสก์ท็อประยะไกลไปยังที่อยู่ IP ที่เฉพาะเจาะจง องค์กรสามารถป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเชื่อมต่อกับระบบของบริษัท การอนุญาตที่อยู่ IP จะทำให้มั่นใจได้ว่าเฉพาะอุปกรณ์ สำนักงาน หรือสถานที่ที่กำหนดไว้ล่วงหน้าสามารถเริ่มต้นเซสชัน RDP ได้ ซึ่งจะช่วยลดความเสี่ยงจากการโจมตีจากภายนอก บอทเน็ต หรือการพยายามเข้าสู่ระบบแบบ brute-force อัตโนมัติอย่างมีนัยสำคัญ

ผู้ดูแลระบบสามารถกำหนดกฎไฟร์วอลล์ของ Windows หรือรายการควบคุมการเข้าถึงระดับเครือข่าย (ACLs) เพื่ออนุญาตเฉพาะที่อยู่ IP ที่ได้รับการอนุมัติ สำหรับผู้ใช้ที่ต้องการการเข้าถึงระยะไกลจากเครือข่ายที่เปลี่ยนแปลงหรือเครือข่ายที่บ้าน สามารถใช้การอนุญาตผ่าน VPN เพื่อให้การเข้าถึงเฉพาะผู้ใช้ VPN ที่ได้รับการตรวจสอบในเครือข่ายของบริษัท

การตรวจสอบและติดตามเซสชันระยะไกล

การตรวจสอบและติดตามเซสชัน RDP อย่างต่อเนื่องสามารถช่วยให้ทีม IT ตรวจจับกิจกรรมที่ผิดปกติ ติดตามความพยายามในการเข้าสู่ระบบที่ล้มเหลว และระบุการเข้าถึงที่ไม่ได้รับอนุญาตก่อนที่จะนำไปสู่การละเมิดความปลอดภัย

• Windows Event Viewer: บันทึกเหตุการณ์การเข้าสู่ระบบเดสก์ท็อประยะไกลทั้งหมด รวมถึงเวลาที่เกิดเหตุการณ์ ความพยายามที่ล้มเหลว และที่อยู่ IP ที่มาของเหตุการณ์
• โซลูชัน SIEM (การจัดการข้อมูลความปลอดภัยและเหตุการณ์): เครื่องมือความปลอดภัยขั้นสูง เช่น Splunk, Graylog หรือ Microsoft Sentinel ให้การวิเคราะห์ภัยคุกคามแบบเรียลไทม์ การตรวจจับความผิดปกติ และการทำงานอัตโนมัติในการตอบสนองต่อเหตุการณ์
• การบันทึกเซสชัน: โซลูชันความปลอดภัยของเดสก์ท็อประยะไกลบางตัวช่วยให้สามารถบันทึกและเล่นเซสชันได้ ทำให้ผู้ดูแลระบบสามารถตรวจสอบบันทึกกิจกรรมในกรณีที่สงสัยว่ามีการละเมิดความปลอดภัยเกิดขึ้น

การดำเนินการตามมาตรการด้านความปลอดภัยเหล่านี้จะช่วยให้การเข้าถึง RDP โดยไม่ใช้รหัสผ่านไม่ทำให้ความสมบูรณ์ของระบบเสียหาย ในขณะที่ยังอนุญาตให้มีการเข้าถึงระยะไกลอย่างราบรื่นสำหรับผู้ใช้ที่เชื่อถือได้

การเสริมสร้างความปลอดภัยและประสิทธิภาพด้วย RDS-Tools

RDS-Tools ให้โซลูชันที่ทันสมัยเพื่อเพิ่มความปลอดภัย การตรวจสอบ และประสิทธิภาพในสภาพแวดล้อมการเข้าถึงระยะไกล เมื่อดำเนินการเข้าถึงโดยไม่ใช้รหัสผ่าน ผู้ดูแลระบบสามารถใช้ประโยชน์จาก RDS-Tools ซอฟต์แวร์ เพื่อเพิ่มชั้นความปลอดภัยโดยไม่ต้องพึ่งพารหัสผ่านแบบดั้งเดิม

การใช้ RDS-Tools ช่วยให้ธุรกิจสามารถสร้างสภาพแวดล้อมการเข้าถึงเดสก์ท็อประยะไกลที่ปลอดภัยและไม่ต้องใช้รหัสผ่าน ในขณะที่ยังคงรักษามาตรฐานความปลอดภัยให้คงอยู่

สรุป

การเข้าสู่ระบบเดสก์ท็อประยะไกลโดยไม่ใช้รหัสผ่านสามารถปรับปรุงการเข้าถึงในสภาพแวดล้อมที่ควบคุมได้ แต่ต้องการการกำหนดค่าที่รอบคอบและชั้นความปลอดภัยเพิ่มเติม โดยการใช้ Windows Group Policy, การตั้งค่า Registry และการทำงานอัตโนมัติผ่าน command-line ผู้เชี่ยวชาญด้าน IT สามารถดำเนินการตั้งค่า RDP ที่ไม่มีรหัสผ่านได้อย่างมีประสิทธิภาพ