L’accesso al desktop remoto è essenziale per qualsiasi provider di servizi gestiti (MSP) che deve supervisionare dispositivi e server remoti, sia in una città che in tutto il mondo. L’accesso remoto consente a un MSP di risolvere in modo rapido ed efficiente una serie di problemi IT da qualsiasi luogo, senza perdere tempo in viaggio per la risoluzione dei problemi di persona.

Un protocollo ben noto che rende possibile l’accesso al desktop remoto è il Remote Desktop Protocol (RDP) di Microsoft. RDP è supportato da tutti i dispositivi Windows ed è la più vecchia applicazione di condivisione desktop disponibile. RDP apre un socket di “ascolto” che accetta tentativi di connessione in entrata autenticati sulla porta 3389. Mentre ciò si traduce in un accesso remoto rapido, reattivo e autenticato a un computer Windows, RDP è soggetto ad attacchi informatici.

A causa di questo rischio, gli MSP dovrebbero capire come funziona il PSR (Problem Steps Recorder) e quali best practice possono essere implementate per mantenere la sicurezza dei dati.

Quale protocollo utilizza RDP?

RDP fa parte della famiglia di protocolli ITU T.120 di Microsoft, il che significa che è un protocollo multicanale che si basa su canali virtuali separati per l’invio di dati di presentazione, comunicazione del dispositivo, informazioni di licenza e dati crittografati di tastiera e mouse tra server. Può anche essere utilizzato per reindirizzare funzioni come l’audio e la stampa.

RDP supporta fino a 64.000 canali separati per la trasmissione dei dati, offrendogli un’ampia base su cui può costruire ed espandere le sue capacità. Alcune delle funzionalità più importanti incluse sono:

  • Consegna di dati multipunto: consente di consegnare i dati da un’applicazione in tempo reale a più server senza indugio.
  • Crittografia: la crittografia RDP utilizza un codice di RSA Security, la società che ha creato uno degli algoritmi di crittografia a chiave pubblica più rispettati. Questa cifra aiuta a proteggere i dati inviati attraverso le reti.
  • Riduzione della larghezza di banda: attraverso la compressione dei dati e la memorizzazione nella cache di bitmap, glifi e frammenti nella RAM, RDP migliora la velocità e le prestazioni dei trasferimenti di dati su connessioni a larghezza di banda ridotta.
  • Funzionalità di disconnessione: gli utenti RDP possono disconnettersi da sessioni desktop remote senza disconnettersi. Quando decidono di disconnettersi, vengono automaticamente connessi alla loro sessione disconnessa quando effettuano nuovamente l’accesso.
  • Condivisione degli Appunti: sia il computer remoto che quello locale possono condividere gli Appunti. Ciò significa che gli utenti possono eliminare, copiare e incollare testo e grafica tra applicazioni e sessioni.

RDP si è evoluto nel corso degli anni e sono state sviluppate numerose nuove versioni. L’ultima versione 10.0 include uno zoom AutoSize oltre ai miglioramenti per la compressione della grafica.

Quali misure di sicurezza RDP implementa Microsoft?

Vi sono due aspetti chiave da considerare nella valutazione della sicurezza: come viene creata la connessione e come viene protetta la connessione. Microsoft utilizza diverse funzioni di autenticazione e sicurezza per garantire che entrambe queste considerazioni siano soddisfatte:

  • Livelli di autenticazione: sia la modalità Legacy che l’autenticazione a livello di rete (NLA -Network Level Autentication) possono essere utilizzate per creare una connessione a un desktop remoto. NLA è più avanzato e ha meno punti deboli da sfruttare per i criminali informatici, rendendolo sostanzialmente più sicuro della modalità Legacy. Quando si utilizza RDP hai la possibilità di consentire connessioni strettamente NLA o quelle dalla modalità legacy precedente. La scelta di connessioni solo NLA ti aiuterà a proteggere i dati dei tuoi clienti.
  • Livello di sicurezza: le sessioni di Servizi Desktop remoto (RDS) possono essere protette utilizzando uno dei tre livelli di sicurezza: SSL (TLS 1.0), Negoziazione e Livello di sicurezza RDP. Ogni livello varia nelle sue capacità di sicurezza. Mentre SSL (TLS 1.0) guida il pacchetto con le massime funzionalità di sicurezza disponibili, è possibile utilizzare solo il livello più sicuro supportato dal client. SSL (TLS 1.0) richiede un certificato digitale per dimostrare l’identità dell’host di sessione RD e crittografare qualsiasi comunicazione tra l’host e il client. Il certificato digitale deve essere rilasciato da un’autorità di certificazione o autofirmato. Se SSL (TLS 1.0) non è supportato, entrerà in vigore il livello di sicurezza RDP. È importante notare che RDP Security Layer non può essere utilizzato insieme a NLA.
  • Livello di crittografia: mentre le connessioni RDS sono crittografate al livello più alto possibile per impostazione predefinita, alcuni client legacy non lo supportano. In questo caso, è possibile selezionare manualmente il livello di crittografia del desktop remoto più sicuro accettato dal client. Le quattro opzioni di crittografia RDP sono conformi a FIPS, Alta, Compatibile con client e Bassa.

È indispensabile che i livelli di autenticazione, i livelli di sicurezza e i livelli di crittografia siano configurati correttamente nelle impostazioni. Ciò assicurerà che i dati sensibili dei tuoi clienti siano protetti dagli aggressori a livello di base.

RDP è sicuro?

Le domande relative alla sicurezza dei PSR sono sempre esistite e per buoni motivi. Mentre Microsoft ha fatto di tutto per proteggere le connessioni RDP, i punti deboli abbondano ancora. Le discussioni più recenti si sono concentrate sul protocollo CredSSP (Credential Security Support Provider Protocol), un provider di autenticazione che elabora le richieste di autenticazione. Secondo Microsoft, è stata rilevata una vulnerabilità nelle versioni senza patch di CredSSP che consentiva agli aggressori di inoltrare le credenziali dell’utente per eseguire il codice su un sistema di destinazione. Ciò ha messo a rischio qualsiasi applicazione che si basava su CredSSP per l’autenticazione.

Da allora Microsoft ha offerto un aggiornamento di sicurezza per risolvere questo problema, ma permangono altri problemi di sicurezza. Le vulnerabilità di crittografia preesistenti, l’uso di impostazioni di crittografia di livello inferiore e la natura generale dei desktop remoti, con le loro porte aperte e il potere di concedere l’accesso dell’amministratore da remoto, mettono tutti a rischio i dati. Uno degli attacchi più comuni che si verificano nelle sessioni RDS è l’attacco man-in-the-middle, quando un attaccante osserva segretamente e probabilmente altera la comunicazione tra due parti. Gli attacchi di forza bruta, che coinvolgono un hacker che cerca di ottenere l’accesso al sistema attraverso migliaia di tentativi di autenticazione al minuto, sono anche prevalenti nello spazio RDP.

Se ti stai chiedendo come proteggere l’accesso al desktop remoto, ci sono molte migliori pratiche là fuori per affrontare i rischi di sicurezza RDP. Alcuni dei più importanti da seguire sono:

  • Password potenti: le password deboli con variazione minima o nulla, inclusi numeri, caratteri univoci e lettere, offrono agli aggressori ampie opportunità di accedere a un account. Assicurati che i tuoi clienti e il tuo team utilizzino password lunghe con un minimo di 12 caratteri. Le parafrasi, che mettono insieme due o più parole non correlate, sono particolarmente potenti. Gli account devono inoltre essere configurati per bloccare un utente dopo tre tentativi non validi.
  • Restrizioni utente: non tutti gli account a livello di amministratore su un computer devono accedere al Desktop remoto. Insegna ai tuoi clienti e tecnici il valore di limitare l’accesso remoto, limitando così il numero di opportunità là fuori per gli hacker. Queste impostazioni possono essere facilmente aggiornate tramite le impostazioni di gestione dei criteri locali e di gruppo.
  • Aggiornamenti regolari: gli aggiornamenti sono fondamentali per qualsiasi tipo di software perché assicurano che siano state installate le patch più recenti. Il ciclo di patch di Microsoft aggiorna automaticamente i Desktop remoti client e server con le ultime soluzioni di sicurezza, assicurati di aver abilitato gli aggiornamenti automatici di Microsoft nelle tue impostazioni.
  • Protezione del firewall: il posizionamento dell’RDS dietro un firewall hardware o software può aiutare a limitare l’accesso alla porta di ascolto del desktop remoto predefinita, TCP 3389. Questi firewall sono progettati per garantire che solo richieste legittime raggiungano il server.
  • Restrizioni dell’indirizzo IP: la limitazione dell’accesso alla porta Desktop remoto a un individuo o un gruppo di indirizzi IP affidabili è chiamata “scoping” della porta. Ciò può essere ottenuto tramite il firewall di Windows. Scoping della porta RDP significa che il server non accetterà i tentativi di connessione da qualsiasi indirizzo IP al di fuori dell’ambito impostato. Ciò toglie la pressione dal server sollevandolo dall’obbligo di elaborare tentativi di connessione dannosi.
  • Autenticazione a più livelli: l’ implementazione di almeno due forme univoche di autenticazione può salvaguardare ulteriormente i dati sensibili condivisi sul PSR. Il software che offre nomi utente e password in combinazione con codici di accesso una tantum basati su tempo (TOTP) è considerato particolarmente sicuro.
  • Porte sicure: la maggior parte degli attacchi di forza bruta su RDP sono condotti utilizzando la porta 3389 predefinita. Se noti un numero sospetto di tentativi di accesso non riusciti sul desktop remoto, potresti avere un utente malintenzionato a portata di mano. Passare a una nuova porta può aiutarti a scuotere i criminali informatici e mantenere le informazioni dei tuoi clienti al sicuro.

Come posso limitare l’accesso al desktop remoto?

Esistono diversi modi per limitare l’accesso e proteggere Desktop remoto. Puoi aiutare il tuo cliente a limitare il numero di amministratori con accesso al Desktop remoto e puoi ambito la porta (limita l’accesso a indirizzi IP specificati), come menzionato sopra. Limitare l’accesso al Desktop remoto tramite uno o entrambi questi metodi è un ottimo modo per proteggere i sistemi dagli hacker alla ricerca di modi semplici per inserire e acquisire dati altamente sensibili.

Per rimuovere gli amministratori locali dall’accesso RDP e limitare l’accesso a un gruppo specificato, attenersi alla seguente procedura:

  1. Fai clic su Start sul desktop, quindi su Programmi / Strumenti di amministrazione / Criteri di sicurezza locali.
  2. In Politiche locali, selezionare Assegnazione diritti utente.
  3. Passare a Consenti accesso tramite Servizi terminal (a seconda del software in uso, potrebbe essere visualizzato il messaggio “Consenti accesso tramite Servizi desktop remoto”).
  4. Rimuovere il gruppo Amministratori e lasciare il gruppo Utenti desktop remoto.
  5. Utilizzare il pannello di controllo del sistema per aggiungere utenti specifici al gruppo Utenti desktop remoto.

Questi passaggi semplici e diretti possono fare molto per proteggere gli attaccanti. Per proteggere Desktop remoto limitando quali indirizzi IP possono accedervi, attenersi alla seguente procedura:

  1. Connettersi al server tramite RDP.
  2. Apri Windows Firewall con sicurezza avanzata.
  3. Fai clic su Regole in entrata nel riquadro a sinistra.
  4. Individua la regola RDP.
  5. Fare clic con il tasto destro del mouse sulla regola, andare su Proprietà e passare alla scheda Ambito.
  6. Una volta nella scheda Ambito, selezionare la sezione Indirizzo IP remoto.
  7. Fai clic sul pulsante accanto a Questi indirizzi IP.
  8. Quindi selezionare Aggiungi.
  9. Se si utilizza un singolo indirizzo IP, digitarlo nel campo di testo in alto e fare clic su OK.
  10. Ripeti i passaggi 3 e 4 per ogni indirizzo IP che desideri aggiungere.
  11. È inoltre possibile aggiungere un intervallo IP facendo clic sul pulsante accanto a Questo intervallo IP.
  12. Digitare l’inizio dell’intervallo nel campo Da e la fine dell’intervallo nel campo A.
  13. Ripetere i passaggi 6 e 7 per ogni intervallo aggiuntivo.

Come garantire la protezione dei clienti 

I tuoi clienti si fidano di te con l’accesso remoto ad alcune delle loro risorse più preziose. Evita di mettere a rischio informazioni altamente sensibili con il software di accesso remoto che ti aiuterà a seguire le migliori pratiche e a ottenere in modo sicuro uno sguardo all’interno dei sistemi dei tuoi clienti. SolarWinds ® Take Control e Take Control Plus sono dotati di una serie di funzioni di sicurezza integrate di livello aziendale che possono aiutare a garantire la risoluzione dei problemi da remoto. Un buon software di supporto remoto contribuirà ad aumentare la fiducia dei tuoi clienti e ti darà maggiore tranquillità attraverso:

  • Crittografia migliorata: l’implementazione della crittografia dei dati AES (Advanced Encryption Standards 256) consente al software remoto di proteggere i dati sia in transito che a riposo. Alcuni software sfruttano anche lo schema di accordo chiave Diffie-Hellman (ECDH) a curva ellittica per abilitare segreti condivisi sicuri tra due endpoint.
  • Creazione di sessioni protette: questo ti aiuta a stabilire i confini e ad assicurare che le sessioni siano avviate solo da coloro con le autorizzazioni appropriate.
  • Conformità della sicurezza: la visibilità storica con la ricerca, la registrazione e la reportistica complete della sessione abbinata alle funzionalità di privacy dei dati predefinite in alcuni software può aiutare a garantire la disponibilità del GDPR e la conformità HIPAA attraverso le funzionalità di privacy dei dati predefinite.

Sono inoltre disponibili moduli crittografici open-SSL conformi a FIPS per favorire la conformità con rigorosi standard di crittografia.

  • Autenticazione avanzata: aiuta a salvaguardare gli account con i metodi di autenticazione a più livelli [https://www.solarwindsmsp.com/blog/securing-your-remote-access-are-you-managing-logins-effective] tramite le impostazioni delle autorizzazioni di accesso del tecnico, oppure tramite autenticazione a due fattori (2FA) che richiede una combinazione nome utente / password oltre all’implementazione di un protocollo tokenizzato.
  • Segreti segreti: salvaguardare password e credenziali utilizzando la funzione Prendi segreti segreti di controllo. Secrets Vaults sigilla le credenziali della macchina dei tuoi clienti in depositi impenetrabili, iniettando rapidamente le informazioni per sbloccare l’accesso quando necessario, il tutto senza che il tecnico o l’utente finale sia in grado di vedere il contenuto in qualsiasi momento.
  • Designazione IP: la designazione degli indirizzi IP che possono accedere al desktop remoto aiuta a garantire che solo gli utenti autenticati abbiano accesso alle risorse del cliente.
  • Controllo del timeout: i controlli del timeout della sessione inattiva sono un buon modo per impedire agli hacker di rubare una sessione che è rimasta incustodita per troppo tempo.
  • Eliminazioni di appunti : le cancellazioni automatiche di appunti dopo le sessioni possono aiutare a garantire che i dati sensibili, come le credenziali dell’utente, non vengano archiviati dopo l’uso.

Una connessione remota è un gateway per le risorse più preziose dei tuoi clienti: le loro macchine, il loro IP e, in definitiva, i loro dati. È importante prendere le misure giuste per garantire l’accesso remoto e mantenerne l’integrità e la fiducia.

Hai bisogno di uno strumento che ti consenta di accedere in modo sicuro ai computer remoti? Scopri Solarwinds Take Control

Registrati per attivare la trial di  Take Control gratuitamente per 90 giorni. (clicca qui)

FONTE: Solarwinds MSP BLOG

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP