ما هو بروتوكول سطح المكتب البعيد؟
- مصطلحات إدارة الهوية والوصول
- ما هو بروتوكول سطح المكتب البعيد؟
بروتوكول سطح المكتب البعيد (RDP) هو بروتوكول اتصالات شبكات يسمح للمستخدمين بالاتصال عن بُعد بالكمبيوترات بطريقة آمنة. بالإضافة إلى السماح لمسؤولي تكنولوجيا المعلومات وموظفي DevOps بالقيام بصيانة النظم وإصلاحها عن بُعد، ويسمح برتوكول سطح المكتب البعيد للمستخدمين النهائيين غير التقنيين من الوصول عن بُعد لمحطات العمل الخاصة بهم.
قامت Microsoft في الأصل بتصميم بروتوكول سطح المكتب البعيد ويتم تثبيته مسبقاً على أغلب أجهزة Windows. علاوة على ذلك، عملاء بروتوكول سطح المكتب البعيد، بما في ذلك الإصدارات مفتوحة المصدر، متاحين لنظم Mac OS، وApple iOS، وAndroid، وLinux/Unix. على سبيل المثال، بروتوكول سطح المكتب من Java هو عميل لبروتوكول سطح المكتب من Java مفتوح المصدر للخادم الطرفي من Windows، في حين أن سطح المكتب البعيد من Apple هو حل خاص لأجهزة Mac.
كيف يعمل بروتوكول سطح المكتب البعيد؟
أحياناً يحدث خلط بين بروتوكول سطح المكتب البعيد والحوسبة السحابية لأن التقنيتان تسمحان بالعمل عن بُعد. وفي الواقع، يعتبر الوصول عن بُعد هو التشابه الوحيد بين بروتوكول سطح المكتب البعيد والسحابة.
في البيئة السحابية، يصل المستخدمون للملفات والتطبيقات المخزنة على خوادم السحابة، وليس على محركات الأقراص الثابتة على كمبيوتر سطح المكتب الخاص بهم. على النقيض من ذلك، يربط بروتوكول سطح المكتب البعيد المستخدمين بكمبيوترات سطح المكتب، ما يسمح لهم بالوصول للملفات وتشغيل التطبيقات كما لو كانوا يجلسون أمام هذا الجهاز مباشرة. ومن هذا المنظور، يشبه استخدام بروتوكول سطح المكتب البعيد للاتصال بكمبيوتر بعيد والعمل عليه جهاز تحكم عن بعد لتحليق طائرة من دون طيار على نحو كبير، ولكن بروتوكول سطح المكتب البعيد يرسل البيانات عبر الإنترنت بدلاً من استخدام ترددات الراديو.
يتطلب بروتوكول سطح المكتب البعيد من المستخدمين تثبيت برنامج العميل على الجهاز الذي يتصلون به، وبرنامج الخادم على الجهاز الذي يتم الاتصال به. وبمجرد الاتصال بالجهاز البعيد، يرى المستخدمون البعيدون واجهة المستخدم الرسومية لجهاز سطح المكتب نفسها ويصلون للملفات والتطبيقات بالطريقة نفسها التي كانوا ليستخدمونها إذا كانوا يعملون محلياً.
يتواصل عميل بروتوكول سطح المكتب البعيد من خلال منفذ الشبكة 3389، باستخدام بروتوكول نقل TCP/IP لإرسال حركات الماوس، وضربات المفاتيح، وغير ذلك من البيانات. ويقوم بروتوكول سطح المكتب البعيد بتشفير كل البيانات قيد النقل لمنع ممثلي التهديد من اعتراضها. وبسبب واجهة المستخدم الرسومية فإن اتصالات العميل والخادم تكون غير متماثلة إلى حد كبير. وفي حين أن العميل ينقل فقط مدخلات الماوس ولوحة المفاتيح، والتي تتألف من بيانات ضئيلة إلى حد ما، يجب على الخادم إرسال واجهة المستخدم الرسومية ذات البيانات المكثفة.
فيم يستخدم بروتوكول سطح المكتب البعيد؟
حتى في العالم القائم على السحابة، يناسب بروتوكول سطح المكتب البعيد الكثير من حالات الاستخدام. فيما يلي بعض من أشهرها:
- لأن بروتوكول سطح المكتب البعيد يربط المستخدمين مباشرة بجهاز محدد، يستخدم بشكل موسع من المسؤولين، وموظفي مكاتب المساعدة والدعم التقني في إعداد كمبيوترات سطح المكتب والخوادم وصيانتها واكتشاف الأخطاء بها وتصحيحها.
- يقدم بروتوكول سطح المكتب البعيد واجهة مستخدم رسومية جاهزة عند الاتصال بالخوادم، حتى يمكن للمسؤولين اختيار القيام بعملهم من خلال واجهة المستخدم الرسومية بدلاً من واجهة سطر الأوامر.
- يسمح بروتوكول سطح المكتب البعيد للمستخدمين باستخدام جهاز محمول أو كمبيوتر منخفض الجودة للوصول إلى جهاز بعيد يضم طاقة حوسبة أكبر بكثير.
- يمكن لموظفي المبيعات والتسويق استخدام بروتوكول سطح المكتب البعيد للعروض التوضيحية للعمليات أو تطبيقات البرامج التي عادة ما يتم الوصول إليها فقط في أماكن العمل.
- ويمكن استخدام بروتوكول سطح المكتب البعيد والحوسبة السحابية معاً. يمكن لعملاء Microsoft Entra ID (Azure) استخدام بروتوكول سطح المكتب البعيد للوصول إلى الأجهزة الظاهرية على مثيلات Entra ID السحابية. تستخدم بعض المؤسسات بروتوكول سطح المكتب البعيد لتمكين العمال عن بُعد من الوصول إلى البيئات السحابية من خلال واجهة سطح مكتب الظاهرية (VDI)، والتي من الممكن أن تكون أبسط للمستخدمين غير التقنيين.
ما هي مزايا بروتوكول سطح المكتب البعيد وعيوبه؟
نظراً لأنه يتصل بشكل مباشر بالخوادم والكمبيوترات في مواقع العمل، يسمح بروتوكول سطح المكتب البعيد بالعمل عن بُعد في المنظمات ذات البنية التحتية القديمة في مواقع العمل، بما في ذلك البيئات السحابية الهجينة. وعلى نفس المنوال، يعتبر بروتوكول سطح المكتب البعيد خياراً رائعاً عندما يجب على المستخدمين عن بُعد الوصول للبيانات التي يجب وجودها في مواقع العمل لأغراض قانونية وأغراض الامتثال. يمكن لمسؤولي تكنولوجيا المعلومات والأمن تقييد اتصالات بروتوكول سطح المكتب البعيد بجهاز محدد لتقتصر على بعض المستخدمين (وحتى مستخدم واحد) في المرة.
ولكن على الرغم من كل مزايا بروتوكول سطح المكتب البعيد، إلا إنه يضم بعض العيوب بما في ذلك:
- نظراً لأنه يجب تشفير نشاط لوحة المفاتيح والماوس، ثم إرساله عبر الإنترنت إلى الجهاز البعيد، تعاني اتصالات بروتوكول سطح المكتب البعيد من مشاكل زمن الانتقال، وبخاصة إذا كان الكمبيوتر العميل اتصاله بالإنترنت بطيء.
- يتطلب بروتوكول سطح المكتب البعيد استخدام برنامج على جهازي العميل والخادم. وعلى الرغم من أن هذا البرنامج مسبق التثبيت على أغلب إصدارات Windows، إلا إنه لازال يجب تهيئته وصيانته. في حالة عدم إعداد بروتوكول سطح المكتب البعيد بشكل مناسب، وعدم تطبيق تحديثات البرنامج على الفور، قد ينتج عن ذلك مشاكل أمنية كبيرة.
- بروتوكول سطح المكتب البعيد معرض للعديد من نقاط الضعف الأمنية، والتي سنناقشها في القسم التالي.
نقاط الضعف الأمنية في بروتوكول سطح المكتب البعيد
أكبر نقطتي ضعف أمنيتين في دربي تشملان بيانات اعتماد تسجيل دخول ضعيفة وتعريض منفذ 3389 للإنترنت.
حين ترك الأمر لتقرير الموظفين، يستخدمون كلمات مرور ضعيفة، ويخزنون كلمات المرور بطريقة غير آمنة، ويعيدون استخدام كلمات المرور عبر حسابات متعددة. ويشمل هذا كلمات المرور لاتصالات بروتوكول سطح المكتب البعيد. وتمثل بيانات اعتمادات بروتوكول سطح المكتب البعيد المعرضة لخطر الاختراق ناقلاً كبيراً لهجمات برامج الفدية الضارة. وتعتبر المشكلة منتشرة للغاية لدرجة أن هناك ميم مشهور على وسائل التواصل الاجتماعي يمزح ساخراً بأن RDP (بروتوكول سطح المكتب البعيد) ترمز في الحقيقة "لبروتوكول نشر برامج الفدية الضارة".
ولأن اتصالات بروتوكول سطح المكتب البعيد تستخدم منفذ الشبكة 3389 افتراضياً، تستهدف الجهات الفاعلة في مجال التهديدات هذا المنفذ في الهجمات على المسار، والمعروفة أيضاً باسم هجمات الوسيط. في الهجمات على المسار، تضع جهة التهديد نفسها بين أجهزة العميل والخادم، حيث يمكنها اعتراض الاتصالات وقراءتها وتعديلها ذهاباً وإياباً.
كيفية تأمين بروتوكول سطح المكتب البعيد
أولاً، اتخذ القرار فيما إذا كانت منظمتك تحتاج حقاً لاستخدام بروتوكول سطح المكتب البعيد، أو ما إذا كانت ستكون أفضل حالاً باستخدام بديل لردبي، مثل حوسبة الشبكات الظاهرية، وهو نظام مشاركة سطح المكتب رسومي غير محدد المنصة. وإذا كان بروتوكول سطح المكتب البعيد هو أفضل خيار لك، قم بتقييد الوصول ليقتصر فقط على المستخدمين الذين يحتاجونه بالتأكيد، وقم بتأمين الوصول إلى منفذ 3389. تشمل خيارات تأمين المنفذ 3389:
- تهيئة قواعد جدار الحماية حتى يمكن فقط لعناوين IP المدرجة في قائمة السماح الوصول لمنفذ 3389.
- يتطلب من المستخدمين الاتصال بشبكة ظاهرية خاصة قبل تسجيل الدخول في بروتوكول سطح المكتب البعيد.
- كبديل عن VPN، يطلب من المستخدمين الاتصال ببروتوكول سطح مكتب بعيد عبر بوابة سطح مكتب بعيد مثل Keeper Connection Manager. فضلاً عن كونها أسهل في الاستخدام وأقل تثاقلاً من VPN، يوجد لدى بوابات سطح المكتب البعيد قدرات تسجيل جلسات وتمكين المسؤولين من فرض استخدام المصادقة متعددة العوامل (MFA).
إن أمن كلمات المرور الشامل لا يقل أهمية عن الحماية من الهجمات القائمة على المنافذ:
- يتطلب من الموظفين استخدام كلمات مرور قوية وفريدة لكل حساب وليس لردبي فقط، ويتطلب استخدام المصادقة متعددة العوامل. نشر مدير كلمات مرور المؤسسات مثل Keeper لإنفاذ هذه السياسات.
- فكر في "إخفاء" كلمات مرور بروتوكول سطح المكتب البعيد. إن هذه ميزة في مديري كلمات المرور، بما في ذلك Keeper، تسمح للمستخدمين بالملء التلقائي لكلمة مرور في نموذج تسجيل دخول، ولكن لا يمكن للمستخدم عرض كلمة المرور.
- لا تستخدم اسم المستخدم "Administrator"، أو "Admin"، أو ما يعادلهما. يحاول الكثير من مخترقي كلمات المرور تخمين كلمة المرور للمستخدمين المسؤولين، حيث إن هذا الحساب يتمتع بأكبر قدر من الامتيازات.
- استخدم تحديد المعدل كدفاع ضد هجمات كلمات المرور ذات القوة الغاشمة. يمنع تحديد المعدل روبوتات اختراق كلمات المرور من القيام بالمئات أو الآلاف من محاولات تخمين كلمات المرور السريعة في وقت قصير من خلال حظر المستخدم بعد عدد صغير من التخمينات غير الصحيحة.