امنیت در Remote Desktop

با توجه به افزایش روز افزون حمله به پروتکل RDP و استفاده بسیاری از کاربران از این پروتکل محبوب و دوست داشتی بر آن شدیم که روش های ساده ولی کاربردی تامین امنیت این پروتکل را برای شما شرح دهیم. اینجانب اشکان پزشکی کارشناس ارشد تیم فنی پردیس پارس با مقاله ای کوتاه اما کاربردی در خدمت شما هستم. شرکت پردیس پارس پیشرو در ارائه خدمات شبکه و ارتباطات، راه اندازی ایمیل سرور، راه اندازی و نصب روترهای میکروتیک، فایروال های سخت افزاری و نرم افزاری، ارائه راهکارهای مجازی سازی دسکتاپ و ... شما را به خواندن این مقاله دعوت می نماید.

کارهایی که برای ایجاد یک RDP امن باید انجام دهیم تا کمترین مشکلات امنیتی را با این پروتکل محبوب داشته باشیم.
چگونه یک Windows Remote Desktop امن داشته باشیم؟
Session های زده شده توسط ریموت دسکتاپ ها بیشتر از یک کانال میباشند، این کار سبب میشود وضعیت شما در داخل شبکه شنود نشود. با این حال آسیب پذیری های زیادی در این روش وجود دارد. در نسخه های قدیمی RDP سِشن های رمزنگاری شده مورد استفاده قرار میگرفت. این آسیب پذیری اجازه میدهد تا دسترسی های غیرمجاز به session های مورد استفاده صورت گیرد مثل یک man in the middle. ریموت دسکتاپ میتواند با استفاده از SSL/TLS در ویندوز ویستا، ویندوز 7 و ویندوز سرور 2003 و 2008امن میشود.
در حالی که ریموت دسکتاپ نسبت به ابزراهای ریموت مانند VNC که عمل رمزنگاری session های ورودی در آنها انجام نمیشود امن تر می باشد. هر زمانی که ادمین به سیستم دسترسی پیدا میکند یک ریسک شما را تهدید میکند. نکته های زیر به شما کمک خواهد کرد تا دسترسی امنی برای پروتکل RDP جهت اتصال به سرورها و کلاینت ها داشته باشید.
نکات مهم امنیتی برای ریموت دسکتاپ
استفاده از کلمات عبور مناسب
استفاده از کلمات عبور قوی بر روی هر حساب کاربری که دسترسی به ریموت دسکتاپ دارد امری ضروری است. قبل از فعال سازی ریموت دسکتاپ ها انجام اینکار باید به یک قانون تبدیل گردد.
بروز رسانی برنامه ها
یک مزیت استفاده از ریموت دسکتاپ نسبت به نرم افزارهای جانبی ریموت این است که کامپوننت ها به صورت اتوماتیک به آخرین بسته های امنیتی در چرخه مایکروسافت بروز رسانی میشوند. اطمینان حاصل کنید که آخرین نسخه ها را بر روی سرور و کلاینت اجرا کرده و بوسیله فعال سازی و auditing خودکار بروزرسانی وجود دارد. اگر از ریموت دسکتاپ کلاینت ها بر روی پلتفرم های مختلفی استفاده میکنید، مطمئن شوید که از آخرین نسخه ها استفاده میکنید. نسخه های قدیمی ممکن است از رمزنگاری های سطح بالا پشتیبانی نکنند و همچنین ممکن است نقض های امنیتی دیگری داشته باشند.
محدود کردن دسترسی با استفاده از فایروال ها
استفاده از فایروال در هر دو حالت نرم افزاری و سخت افزاری در جهت محدود کردن دسترسی به پورت های ریموت دسکتاپ ضروری می باشد. برای محدود کردن دسترسی به ریموت دسکتاپ سرور ها و کلاینت ها استفاده از RDP Gateway بشدت توصیه میشود.
فعال سازی Network Level Authetication :
ویندوز ویستا، ویندوز7 و ویندوز سرور 2008 به صورت پیش فرض NLA را دارند. بهترین حالت این است که تنظیمات را بدون تغییر بگذارید. NLA یک سطح ویژه ای از احراز هویت را دارا می باشد که قبل از اتصال انجام میشود. شما باید ریموت دسکتاپ سرورها باید طوری تنظیم شوند که اگر شما از NLA استفاده میکنید سایر دستگاه ها بتوانند به آنها متصل شوند.
محدود کردن کاربران
به صورت پیش فرض، ادمین ها امکان ریموت زدن را دارند. اگر در شبکه شما ادمین های زیادی وجود دارند میتوانید دسترسی اکانت های آنها را بر اساس نیاز محدود نمایید. اگر پروتکل RDP برای ادمین ها مورد نیاز نیست کافی است آنها را از لیست خارج نمایید. برای دپارتمان هایی که مدیریت ماشین ها از طریق ریموت انجام میشود، ادمین های لوکال را از دسترسی RDP پاک کنید و به جای آن آنها را در technical گروه اضافه نمایید.
1- به مسیر زیر بروید
Start > Programs > Administrative Tools > Local Security Policy
2- در قسمت Local Policies >User Rights Assinment به بخش “Allow logon through Terminal Services.” بروید. البته ممکن است با نام “Allow logon through Remove Desktop Services” شناخته شود.
3- گروه Administrator را پاک کرده و کاری با Remove Desktop Users group نداشته باشید.
4- از قسمت Control Panel سیستم استفاده کنید تا کاربران را به گروه Remote Desktop اضافه نمایید.
بهترین تجربیات برای ایجاد امنیت اضافه:
تغییر پورت پیش فرض برای ریموت دسکتاپ
تغییر پورت ریموت دسکتاپ سبب میشود تا این پروتکل از تیررس هکرها خارج شود. بیشتر هکرهای تازه کار با استفاده از اسکن پورت پیش فرض این پروتکل آنرا پیدا میکنند. پورت پیش فرض RDP بر روی TCP 3389 است. برای تغییر دادن پورت پیش فرض RDP کافی است به آدرس زیر در رجیستری مراجعه کنید:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
در این قسمت میتوانید پورت 3389 را به عدد دیگری تغییر داده و به یاد داشته باشید که رول های فایروال هم باید بروزرسانی شوند. اگرچه این رویکرد بسیار مفید است اما این روش مطمئن و قابل اعتماد نبوده و باید از روش های دیگری هم استفاده شود.
استفاده از RDP Gateway ها:
اکیدا توصیه میشود از RDP Gateway استفاده کنید. زیرا دسترسی ریموت دسکتاپ را به یک کانکشن سرور Gateway محدود مینماید. وقتی از RD Gateway سرورها استفاده میکنید، تمام ریموت دسکتاپ سرویس ها محدود شده و فقط اجازه دسترسی از RD Gateway داده میشود. سرور RD Gateway برای دسترسی ریموت دسکتاپ بر روی HTTPS پورت 443 جواب میدهد و اتصال کلاینت به سرویس ریموت دسکتاپ بر روی ماشین مقصد صورت میگیرد.
نصب و راه اندازی این سرویس به کرات در سایت های مختلف توضیح داده شده است که با یک سرچ به مطالب زیادی خواهید رسید برای تست کافی است از یک certificate به صورت self-signed استفاده کنید. اما در محیط واقعی بهتر است از certificate های معتبری مانند comodo استفاده شود.
کانکشن ریموت دسکتاپ از طریق تانل IPSEC یا SSH
اگر از RD Gateway استفاده میکنید این امکان شدنی نیست، شما میتوانید یک لایه ویژه احراز هویت و رمزگذاری بوسیله تانلینگ session های ریموت دسکتاپ از طریق IPSec یا SSH اضافه نمایید. پروتکل IPsec به صورت پیش فرض در تمام سیستم عامل های ویندوزی وجود دارد. اگر یک سرور SSH موجود دارید، از تانلینگ SSH برای کانکشن ریموت دسکتاپ ها استفاده نمایید.
استفاده از ابزارهای مدیریت برای RDP
استفاده از کامپوننت هایی مانند VNC یا PCAnywhere اصلا توصیه نمیشود به این خاطر که این برنامه ها اغلب روش های لاگین درست و استانداری نداشته و محافظت شده نمی باشند. در ریموت دسکتاپ ویندوزی پروتکل RDP کاملا مورد بررسی قرار گرفته و لاگ های دقیق سیستمی ایجاد میشود. وقتی پالسی های امنیتی داخلی را بررسی میکنید هرگونه اتفاق غیرمعمول در زمینه RDP را می توانید مشاهده بفرمایید. RDP یک رویکرد مدیریت مرکزی دارد که بوسیله GPO قابل مدیریت میباشد.
استفاده از احراز هویت دو مرحله ای در سیستم های بسیار حساس
سازمان ها با اطلاعات حساس باید از یک رویکرد احراز هویت دو مرحله ای استفاده نمایند. این فراتر از محدوده این مقاله است، اما RD Gateways یک مکانیزم ساده برای کنترل احراز هویت از طریق دو کارت هوشمند مبتنی بر certificate ارائه می دهد.
امنیت موازی با NAP
همچنین مدیران مستعد شبکه می توانند از حفاظت دسترسی شبکه (NAP) با RD Gateway استفاده کنند، اما این تکنولوژی و استاندارد هنوز به خوبی توسعه نیافته یا قابل اعتماد نیست. ولی مفهوم کلی بدین صورت می باشد که اگر مشتریان یک سری از قوانین را رعایت نکنند پروتکل کار نخواهد کرد اگر آن را اجرا نکنند کار نخواهند کرد که این امر تاثیر بسزایی در تامین امنیت خواهد داشت.