Czym jest protokół pulpitu zdalnego?

Protokół pulpitu zdalnego (RDP) to sieciowy protokół komunikacyjny, który umożliwia użytkownikom zdalne połączenie z komputerami w bezpieczny sposób. Umożliwia też administratorom IT i specjalistom DevOps przeprowadzanie konserwacji i napraw zdalnych systemów, a nietechnicznym użytkownikom końcowym zdalny dostęp do swoich stanowisk pracy.

Protokół RDP został stworzony przez firmę Microsoft i jest fabrycznie zainstalowany na większości urządzeń Windows. Klienci RDP, w tym wersje open-source, są dostępni na system Mac OS, Apple iOS, Android oraz Linux/Unix. Na przykład protokół pulpitu zdalnego Java jest klientem open source Java RDP dla usługi Windows Terminal Server, a pulpit zdalny Apple (ARD) to rozwiązanie własnościowe dla systemów Mac.

Jak działa protokół pulpitu zdalnego?

RDP jest często mylony z chmurami obliczeniowymi, gdyż obie technologie umożliwiają pracę zdalną. Jednak dostęp zdalny to punk, gdzie kończą się podobieństwa między RDP i chmurą.

W środowisku opartym na chmurze użytkownicy uzyskują dostęp do plików i aplikacji przechowywanych na serwerach w chmurze, a nie na dysku twardym ich komputerów. RDP natomiast bezpośrednio łączy użytkowników z komputerem stacjonarnym, umożliwiając im dostęp do plików i uruchamianie aplikacji, zupełnie jakby siedzieli przed tym komputerem. Z tej perspektywy korzystanie z RDP w celu łączenia się z komputerem zdalnym przypomina używanie pilota do sterowania dronem, tyle ze RDP przesyła dane przez internet, a nie przez fale radiowe.

RDP wymaga od użytkowników zainstalowania oprogramowania klienta na maszynach, z których się łączą, oraz oprogramowania serwerowego na maszynach, do których próbują się połączyć. Po połączeniu z maszyną zdalną użytkownicy zdalni widzą taki sam graficzny interfejs użytkownika (GUI) i uzyskują dostęp do plików i aplikacji w taki sam sposób, jakby pracowali lokalnie.

Klient RDP i serwer komunikują się przez port sieciowy 3389 przy użyciu protokołu TCP/IP do przesyłu ruchów myszy, pracy klawiatury i innych danych. RDP szyfrują wszystkie przesyłane dane, aby zapobiegać czynnikom zagrażającym przejęcie tych danych. Z powodu GUI komunikacja między klientem i serwerem jest bardzo asymetryczna. Klient przesyła tylko ruchy myszki i pracę klawiatury, czyli dość mało danych, natomiast serwer musi przesłać GUI zajmujące dużo danych.

Do czego używany jest protokół RDP?

Nawet w środowisku w chmurze RDP jest doskonałym rozwiązaniem dla wielu przypadków użycia. Oto najpopularniejsze:

  • RDP łączy użytkowników bezpośrednio do określonej maszyny, więc jest stosowany bardzo często przez administratorów i działy wsparcia technicznego w celu konfigurowania, utrzymywania, i naprawiania komputerów i serwerów zdalnych.
  • DP zapewnia gotowy GUI podczas łączenia z serwerami, więc administratorzy mogą wybrać, czy chcą korzystać z GUI czy z interfejsu wiersza poleceń (CLI).
  • RDP umożliwia użytkownikom używanie urządzeń mobilnych lub komputery o mniejszej wydajności w celu uzyskania dostępu maszyny zdalnej z dużo większą mocą obliczeniową.
  • Pracownicy działów sprzedaży mogą korzystać z protokołu RDP podczas demonstracji procesów lub aplikacji, które są zwykle dostępne lokalnie.
  • RDP i chmura mogą być stosowane razem. Klienci Microsoft Azure stosują RDP, aby uzyskać dostęp do maszyn wirtualnych w chmurze Azure. Niektóre organizacje korzystają z RDP, aby umożliwić pracownikom zdalnym dostęp do środowiska w chmurze poprzez infrastrukturę pulpitu wirtualnego (VDI), co może być prostsze dla użytkowników nietechnicznych.

Jakie są wady i zalety RDP?

RDP łączy się bezpośrednio z serwerami i komputerami lokalnymi i umożliwia pracę zdalną w organizacjach ze starszą infrastrukturą lokalną, w tym hybrydowymi środowiskami w chmurze. RDP jest też doskonałą opcją, gdy użytkownicy zdalni muszą uzyskać dostęp do danych, które z powodów prawnych są hostowanych lokalnie. Dział IT i administratory bezpieczeństwa mogą ograniczyć połączenia RDP z określoną maszyną do zaledwie kilku użytkowników (a nawet jednego) w określonym czasie.

RDP ma wiele zalet, ale trzeba pamiętać również o kilku wadach, w tym:

  • Aktywność klawiatury i myszki musi być szyfrowana, a następnie przekazywana przez internet do maszyny zdalnej, połączenie RDP może powodować opóźnienia, zwłaszcza jeśli komputer klienta ma wolne połączenie internetowe.
  • RDP wymaga używania oprogramowania zarówno na urządzeniu klienta i serwera. Takie oprogramowanie jest zainstalowane fabrycznie w przypadku większości wersji systemu Windows, ale trzeba jest skonfigurować i utrzymywać. Jeśli RDP nie zostanie poprawnie zainstalowany i oprogramowanie nie będzie regularnie aktualizowane, mogą wystąpić poważne problemy z zabezpieczeniami.
  • Protokół RDP jest narażony na wiele luk w zabezpieczeniach, które opiszemy w następnej sekcji.

Luki w zabezpieczeniach RDP

Dwie największe luki w zabezpieczeniach RDP to słabe poświadczenia logowania i połączenie porty 3389 z internetem.

Na swoich własnych urządzeniach pracownicy korzystają ze słabych haseł, przechowują je w nieodpowiedni sposób i używają tych samych haseł na wielu urządzeniach. Takie praktyki obejmują również hasła do połączeń RDP. Skradzione dane logowania do RDP główny czynnik w atakach szantażujących. Problem jest na tyle poważny, że popularny mem krążący w mediach społecznościowych sugeruje, że RDP oznacza: „ransomware deployment protocol”.

Ze względu na to, że połączenia RDP korzystają domyślnie z portu 3389, port ten stał się celem ataków zwanych atakami „man-in-the-middle”. Podczas takiego ataku czynnik atakujący znajduje się pomiędzy urządzeniem klienta a urządzeniem serwera, gdzie może przejąć , odczytać i zmodyfikować komunikację wychodzącą i przychodzącą.

Jak zabezpieczyć RDP?

Zastanów się, czy Twoja organizacja naprawdę musi korzystać z RP, czy lepiej skorzystać z dostępnych alternatyw, np. VNC, czyli systemu do udostępniania obrazu graficznego. Jeśli RDP jest najlepszą opcją, ogranicz dostęp tylko do użytkowników, którzy naprawdę go potrzebują i zamknij dostęp do portu 3389. Opcje zabezpieczania portu 3389 obejmują:

  • Skonfiguruj zapory systemu w taki sposób, aby zezwalały na dostęp do portu 3389 tylko znanym adresom IP.
  • Wymagaj od użytkowników, aby łączyli się z siecią VPN (wirtualną siecią prywatną) przed zalogowaniem do RDP.
  • Alternatywą dla VPN może być wymaganie od użytkowników połączenia z RDP poprzez bramę pulpitu zdalnego, taką jak Keeper Connection Manager. Takie bramy są prostsze i szybsze niż VPN, a dodatkowo posiadają funkcje nagrywania sesji i umożliwiają administratorom zarządzanie użytkowaniem uwierzytelniania wieloskładnikowego (MFA).

Wszechstronne zabezpieczenie haseł jest tak samo ważne, jak ochrona przed atakami na poziomie portów.

  • Wymagaj od pracowników korzystania z silnych, unikatowych haseł do wszystkich kont, nie tylko RDP, oraz stosowania uwierzytelniania MFA. Wprowadź do użytku menedżer haseł dla przedsiębiorstw (EPM), taki jak Keeper, aby wyegzekwować stosowanie tych zasad.
  • Rozważ „maskowanie” haseł RDP. To funkcja dostępna w menedżerach haseł, takich jak Keeper, umożliwia użytkownikom automatyczne uzupełnianie haseł w formularzach logowania, przy czym użytkownik nie może zobaczyć hasła.
  • Nie używaj takich nazw użytkownika jak: „Administrator” czy „Admin”. Wiele zautomatyzowanych narzędzi do łamania haseł próbuje odgadnąć hasła administratorów, gdyż te konta mają najwięcej uprawnień.
  • Stosuj limity szybkości jako obronę przed atakami siłowymi na hasła. Limity szybkości zapobiegają botom łamiącym hasła dokonywanie setek lub tysięcy szybkich prób odgadnięcia haseł w krótkim okresie poprzez zablokowanie użytkownika po małej licznie nieudanych prób logowania.
close
Sprzedaż dla firm
Pomoc techniczna
closeWybierz język
close

Firmy i przedsiębiorstwa

Chroń swoją firmę przed cyberprzestępcami.

Wypróbuj za darmo

Sektor publiczny i FedRAMP

Chroń swoją agencję lub instytucję edukacyjną przed cyberprzestępcami.

Kontakt

MSP

Chroń swoją organizację MSP oraz klientów końcowych i dodać nowe źródła przychodu.

Wypróbuj za darmo

Osobisty i rodzinny

Chroń siebie i swoją rodzinę przed cyberprzestępcami.

Zyskaj ochronę już dziś
close

Osobisty i rodzinny

Chroń siebie i swoją rodzinę przed cyberprzestępcami.

Wypróbuj za darmo

Firmy i przedsiębiorstwa

Chroń swoją firmę przed cyberprzestępcami.

Wypróbuj za darmo
Polski (PL) Zadzwoń do nas
Pobierz z App Store Pobierz z Google Play