Что такое протокол удаленного рабочего стола?
- Глоссарий IAM
- Что такое протокол удаленного рабочего стола?
Протокол удаленного рабочего стола (RDP) — это протокол сетевой связи, который позволяет пользователям удаленно подключаться к компьютерам безопасным способом. Помимо предоставления ИТ-администраторам и персоналу DevOps возможности выполнять удаленное обслуживание и ремонт систем, RDP позволяет конечным пользователям, не являющимся техническими специалистами, получать удаленный доступ к своим рабочим станциям.
RDP изначально был разработан корпорацией Microsoft и предустановлен на большинстве компьютеров с Windows. Кроме того, клиенты RDP, включая версии с открытым исходным кодом, доступны для систем Mac OS, Apple iOS, Android и Linux/Unix. Например, Java Remote Desktop Protocol — это клиент Java RDP с открытым исходным кодом для сервера терминалов Windows, а Apple Remote Desktop (ARD) — это проприетарное решение для компьютеров Mac.
Как работает протокол удаленного рабочего стола?
RDP иногда путают с облачными вычислениями, поскольку обе технологии позволяют работать удаленно. На самом деле, на удаленном доступе сходство между RDP и облаком заканчивается.
В облачной среде пользователи получают доступ к файлам и приложениям, хранящимся на облачных серверах, а не на жестком диске своего настольного компьютера. Напротив, RDP напрямую соединяет пользователей с настольными компьютерами, позволяя им получать доступ к файлам и запускать приложения, как если бы они физически сидели перед этим компьютером. С этой точки зрения использование RDP для подключения и работы на удаленном компьютере очень похоже на использование пульта дистанционного управления для управления дроном, только RDP передает данные через Интернет, а не использует радиочастоты.
RDP требует, чтобы пользователи установили клиентское программное обеспечение на машине, с которой они подключаются, и серверное программное обеспечение на машине, к которой они подключаются. После подключения к удаленному компьютеру удаленные пользователи видят тот же графический интерфейс пользователя (GUI) рабочего стола и получают доступ к файлам и приложениям так же, как если бы они работали локально.
Программное обеспечение RDP-клиента и сервера взаимодействует через сетевой порт 3389, используя транспортный протокол TCP/IP для передачи движений мыши, нажатий клавиш и других данных. RDP шифрует все передаваемые данные, чтобы злоумышленники не могли их перехватить. Из-за графического интерфейса взаимодействие клиента и сервера сильно асимметрично. В то время как клиент передает только относительно мало данных, вводимых мышью и клавиатурой, сервер должен передавать большой объем данных графического интерфейса.
Для чего используется RDP?
Даже в облачном мире RDP отлично подходит для многих сценариев использования. Вот некоторые из самых популярных:
- Поскольку RDP подключает пользователей непосредственно к конкретному компьютеру, он широко используется администраторами, службами поддержки и персоналом технической поддержки для настройки, обслуживания, устранения неполадок и ремонта настольных компьютеров и серверов.
- RDP предоставляет готовый графический интерфейс при подключении к серверам, поэтому администраторы могут выполнять свою работу через графический интерфейс вместо интерфейса командной строки (CLI).
- RDP позволяет использовать мобильное устройство или слабый компьютер для доступа к удаленному компьютеру с гораздо большей вычислительной мощностью.
- Сотрудники отдела продаж и маркетинга могут использовать RDP для демонстрации процессов или программных приложений, которые обычно доступны только локально.
- RDP и облачные вычисления можно использовать вместе. Клиенты Microsoft Entra ID (Azure) используют RDP для доступа к виртуальным машинам в своих облачных экземплярах Entra ID (Azure). Некоторые организации используют RDP, чтобы удаленные работники могли получать доступ к облачным средам через интерфейс виртуального рабочего стола (VDI), что может быть проще для нетехнических пользователей.
Каковы преимущества и недостатки RDP?
Поскольку с RDP происходит подключение непосредственно к локальным серверам и компьютерам, он позволяет выполнять удаленную работу в организациях с устаревшей локальной инфраструктурой, включая гибридные облачные среды. В том же духе RDP является отличным вариантом, когда удаленным пользователям необходимо получить доступ к данным, которые должны быть размещены локально по юридическим причинам или по соображениям соответствия требованиям. ИТ-администраторы и администраторы по безопасности могут ограничить RDP-подключения к определенному компьютеру только несколькими пользователями (даже одним) одновременно.
Однако при всех преимуществах RDP у него есть некоторые недостатки, в том числе:
- Поскольку действия пользователя с клавиатурой и мышью должны быть зашифрованы, а затем переданы через Интернет на удаленный компьютер, соединения RDP страдают от проблем с задержкой, особенно если клиентский компьютер имеет медленное подключение к Интернету.
- RDP требует использования программного обеспечения как на клиентских, так и на серверных машинах. Хотя это программное обеспечение предустановлено в большинстве версий Windows, его все равно необходимо настраивать и обслуживать. Если RDP не настроен должным образом и обновления программного обеспечения не применяются своевременно, могут возникнуть серьезные проблемы с безопасностью.
- RDP подвержен многочисленным уязвимостям в плане безопасности, которые мы обсудим в следующем разделе.
Уязвимости в безопасности RDP
Две самые большие уязвимости в безопасности RDP связаны с ненадежными учетными данными для входа в систему и доступом к Интернету через порт 3389.
Предоставленные сами себе, сотрудники используют ненадежные пароли, небезопасно хранят пароли и повторно используют пароли для нескольких учетных записей. Это относится и к паролям для RDP-соединений. Скомпрометированные учетные данные RDP являются основным вектором атак программ-вымогателей. Проблема настолько распространена, что в социальных сетях стала популярной мрачная шутка, что RDP на самом деле означает «Ransomware Deployment Protocol» (протокол развертывания программ-вымогателей).
Поскольку в RDP-подключениях по умолчанию используется сетевой порт 3389, злоумышленники выбирают этот порт для атак on-path, также называемых атаками «человек посередине». При такой атаке злоумышленник оказывается между клиентской и серверной машинами, где он может перехватывать, считывать и изменять передаваемые сообщения.
Как защитить RDP
Прежде всего, решите, действительно ли вашей организации необходимо использовать RDP, или вам лучше использовать альтернативу RDP, такую как VNC, независимую от платформы систему совместного использования графического рабочего стола. Если вам лучше всего подходит RDP, ограничьте доступ только тем пользователям, которым он абсолютно необходим, и также ограничьте доступ к порту 3389. Варианты защиты порта 3389 включают в себя:
- Настройте правила брандмауэра так, чтобы только разрешенные IP-адреса могли получать доступ к порту 3389.
- Требовать от пользователей подключения к виртуальной частной сети (VPN), прежде чем входить в RDP.
- В качестве альтернативы VPN требуйте от пользователей подключения к RDP через шлюз удаленного рабочего стола, такой как Keeper Connection Manager. Помимо того, что шлюзы удаленного рабочего стола проще в использовании и менее медлительны, чем VPN, они обладают возможностями записи сеансов и позволяют администраторам предписывать использование многофакторной аутентификации (MFA).
Комплексная защита паролей так же важна, как и защита от атак через порт:
- Потребуйте от сотрудников использования надежных уникальных паролей для каждой учетной записи, а не только RDP, и требуйте использования MFA. Разверните корпоративный менеджер паролей (EPM), такой как Keeper, для обеспечения соблюдения этих политик.
- Рассмотрите возможность «маскировки» паролей RDP. Это функция менеджеров паролей, включая Keeper, которая позволяет пользователям автоматически вводить пароль в форму входа, но пользователь не может просмотреть пароль.
- Не используйте имя пользователя «Administrator», «Admin» или подобное ему. Многие автоматические взломщики паролей пытаются угадать пароль администратора, поскольку эта учетная запись имеет самые высокие привилегии.
- Используйте ограничение скорости ввода пароля в качестве защиты от атак методом подбора пароля. Ограничение скорости не позволяет ботам, взламывающим пароли, совершать сотни или тысячи быстрых попыток подбора пароля за короткий промежуток времени, блокируя пользователя после небольшого количества неправильных попыток.