O que é o Protocolo de área de trabalho remota?
- Glossário do IAM
- O que é o Protocolo de área de trabalho remota?
O protocolo de área de trabalho remota (RDP) é um protocolo de comunicação de rede que permite que os usuários se conectem remotamente a computadores de forma segura. Além de possibilitar que os administradores de TI e as equipes de DevOps realizem manutenção e reparo em sistemas remotos, o RDP permite que usuários finais não técnicos acessem remotamente suas estações de trabalho.
O RDP foi originalmente desenvolvido pela Microsoft e é pré-instalado na maioria das máquinas Windows. Além disso, os clientes RDP, incluindo versões de código aberto, estão disponíveis para sistemas Mac OS, Apple iOS, Android e Linux/Unix. Por exemplo, o Java Remote Desktop Protocol é um cliente RDP Java de código aberto para o Windows Terminal Server, enquanto que o Apple Remote Desktop (ARD) é u ma solução proprietária para os Macs.
Como o Protocolo de área de trabalho remota funciona?
O RDP algumas vezes é confundido com a computação em nuvem porque as duas tecnologias possibilitam o trabalho remoto. Na verdade, o acesso remoto é onde acabam as similaridades entre o RDP e a nuvem.
Em um ambiente de nuvem, os usuários acessam arquivos e aplicativos armazenados nos servidores de nuvem - não o disco rígido de seu computador desktop. Em contraste, o RDP conecta diretamente os usuários com computadores desktop, permitindo que acessem arquivos e executem aplicativos como se estivessem fisicamente sentados à frente dessa máquina. Dessa perspectiva, usar o RDP para se conectar e trabalhar em um computador remoto é muito parecido com usar um controle remoto para operar um drone, com a diferença de que o RDP transmite dados pela internet, em vez de usar frequências de rádio.
O RDP exige que os usuários instalem o software cliente na máquina de onde estão conectando-se e o software servidor na máquina a que estão conectando-se. Depois de conectados à máquina remota, os usuários veem a mesma interface de usuário gráfica (GUI) da área de trabalho, e acessam arquivos e aplicativos da mesma como fariam se estivessem trabalhando localmente.
Os softwares cliente e servidor do RDP se comunicam pela porta de rede 3389, usando o protocolo de transporte TCP/IP para transmitir movimentos do mouse, pressionar de teclas e outros dados. O RDP criptografa todos os dados em trânsito para evitar que atores de ameaças os interceptem. Por causa da GUI, as comunicações entre cliente e servidor são altamente assimétricas. Enquanto o cliente transmite apenas entradas do mouse e do teclado, que consistem relativamente em poucos dados, o servidor deve transmitir a GUI com muitos dados.
Para que o RDP é usado?
Mesmo em um mundo baseado em nuvem, o RDP é excelente para muitos casos de uso. Eis alguns dos mais populares:
- Como o RDP conecta os usuários diretamente a uma máquina específica, ele é usado extensamente por administradores, equipes de atendimento ao cliente e de suporte técnico para configurar, fazer manutenção, solucionar problemas e reparar computadores desktop e servidores.
- O RDP fornece uma GUI pronta ao se conectar a servidores, portanto, os administradores podem escolher fazer o trabalho usando a GUI, em vez da interface de linha de comando (CLI).
- O RDP possibilita que os usuários usem um dispositivo móvel ou um computador comum para acessar uma máquina remota com muito mais poder de computação.
- As equipes de vendas e marketing podem usar o RDP para demonstrações de processos ou aplicativos de software que são normalmente acessíveis apenas no local.
- O RDP e a computação em nuvem podem ser usados juntos. Os clientes do Microsoft Entra ID (Azure) usam o RDP para acessar máquinas virtuais nas instâncias da nuvem Entra ID (Azure). Algumas organizações usam o RDP para possibilitar que trabalhadores remotos acessem ambientes de nuvem usando uma interface de área de trabalho virtual (VDI), o que seria mais simples para usuários não técnicos.
Quais são os benefícios e as desvantagens do RDP?
Como ele se conecta diretamente a servidores e computadores no local, o RDP possibilita o trabalho remoto em organizações com infraestrutura local legada, incluindo ambientes de nuvem híbridos. Da mesma forma, o RDP é uma excelente opção quando usuários remotos devem acessar dados que devem estar hospedados no local por motivos legais ou de conformidade. Os administradores de TI e segurança podem restringir as conexões de RDP a uma máquina em particular para apenas alguns usuários (até mesmo um só) de cada vez.
No entanto, apesar de todos os benefícios do RDP, ele tem algumas desvantagens, incluindo:
- Como a atividade do usuário no teclado e no mouse precisa ser criptografada e, em seguida, transmitida pela internet para a máquina remota, as conexões de RDP sofrem de problemas de latência, especialmente se o computador cliente tem uma conexão mais lenta com a internet.
- O RDP exige o uso de software nas máquinas cliente e servidor. Apesar de esse software ser pré-instalado na maioria das versões do Windows, ele ainda deverá ser configurado e receber manutenção. Se o RDP não for configurado adequadamente e as atualizações de software não forem prontamente aplicadas, poderão resultar problemas de segurança significativos.
- O RDP é suscetível a inúmeras vulnerabilidades de segurança, que serão discutidas na próxima seção.
Vulnerabilidades de segurança do RDP
As duas maiores vulnerabilidades de segurança do RDP envolvem credenciais de login fracas e a exposição da porta 3389 à internet.
Deixados com os próprios dispositivos, os funcionários usam senhas fracas, armazenam senhas de forma insegura e reutilizam senhas em várias contas. Isso inclui senhas para conexões de RDP. Credenciais de RDP comprometidas são um grande vetor para ataques de ransomware. O problema é tão disseminado que um meme popular de mídia social faz uma piada sombria de que RDO quer dizer, na realidade, "ransomware deployment protocol" (protocolo de implementação de ransomware).
Como as conexões de RDP usam a porta de rede 3389 por padrão, os atores de ameaças miram essa porta para ataques no caminho, também conhecidos como ataques intermediários. Em um ataque no caminho, um ator de ameaça se coloca entre as máquinas cliente e servidor, onde podem interceptar, ler e modificar comunicações que chegam e saem.
Como proteger o RDP
Primeiro, decida se sua organização realmente precisa usar RDP ou se seria melhor uma alternativa ao RDP, como computação de rede virtual (VNC), um sistema de compartilhamento de área de trabalho gráfica independente de plataforma. Se o RDP for sua melhor opção, limite o acesso apenas a usuários que absolutamente precisam dele e bloqueie o acesso à porta 3389. As opções para proteger a porta 3389 incluem:
- Configure regras de firewall para que apenas os IPs listados como permitidos possam acessar a porta 3389.
- Exija que os usuários se conectem a uma rede privada virtual (VPN) antes que possam fazer login no RDP.
- Como alternativa a uma VPN, exige que os usuários se conectem ao RDP por meio de um gateway de área de trabalho remota, como o Keeper Connection Manager. Além de serem mais fácil de usar e menos pesados que uma VPN, os gateways de área de trabalho remota têm capacidades de gravação de sessão e possibilitam que os administradores exijam o uso de autenticação de vários fatores (AVF).
A segurança abrangente de senhas é tão importante quanto a proteção contra ataques baseados em portas:
- Exija que os funcionários usem senhas únicas complexas para cada conta, não apenas para o RDP, e exija o uso de AVF. Implemente um gerenciador de senhas empresarial (EPM), como o Keeper, para impor essas políticas.
- Considere "mascarar" senhas do RDP. Esse é um recurso nos gerenciadores de senhas, incluindo o Keeper, que possibilita que os usuários preencham automaticamente uma senha em um formulário de login, mas o usuário não consegue ver a senha.
- Não use o nome de usuário "Administrador", "Admin" ou equivalente. Muitos aplicativos automatizados para quebrar senhas tentam adivinhar a senha para o usuário administrativo, pois é a conta com os maiores privilégios.
- Use limitação de taxa como defesa contra ataques de senha de força bruta. A limitação de taxa evita que bots de quebrar senhas façam centenas ou milhares de tentativas rápidas de adivinhação de senha em um curto tempo, bloqueando o usuário depois de um número pequeno de tentativas incorretas.