Vi undersöker säkra VDI-lösningar som Parsec/Teradici/Citrix som ett sätt att tillåta någon form av säker åtkomst till nätverket från personalens privata utrustning, tills vi kan få dem att använda företagsutrustning hemma.
Frågan dök upp, “varför kan vi inte bara använda fjärrskrivbord?”.
Intresserad av att höra folks åsikter om huruvida fjärrskrivbord kan göras tillräckligt säkert, eller om någon har länkar till säkerhetsbloggar om varför man inte bör göra detta.
Tack
Remote Desktop Gateway skulle vara “tillräckligt säkert”, särskilt om du kombinerar det med MFA.
Definiera ‘säker’ i ditt sammanhang
Remote Desktop Gateway anses generellt vara hyfsat. Du bara exponerar port 443 mot internet.
Säkerställ det med MFA, och du är ganska bra.
Nej - personliga maskiner bör aldrig tillåtas vara direkt på ditt nätverk, inklusive VPN. Bedöm dem lika infekterade som resten av det offentliga internet och behandla dem därefter. RDP bör aldrig exponerad direkt mot internet eller andra osäkra PC:er.
Det är möjligt om du har någon form av begränsande MDM för att hantera personalens privata maskiner. Och må du rosta i helvetet för att du föreslår det för ledningen.
Vad du kan göra är att inte använda direkt RDP. Apache Guacamole kan göra RDP i en webbläsare, vilket helt separerar den infekterade klienten från ditt säkra nätverk. Många andra liknande lösningar finns också. Citrix kan vara i mitten, där du fortfarande använder RDP men isolationen är kvar.
Notera att oavsett vilken lösning du väljer, vare sig kommersiell eller F/OSS, finns stora licensproblem med Windows. Även om din fjärråtkomstlösning är gratis, är Windows-värdarna du ansluter till inte, och licenseringen är komplex.
Kolla på RDS eller Remote Desktop Services. du kan publicera skrivbord eller appar till användare, och det använder RDP, och är all inbäddat över HTTPS. Det är den säkraste metoden.
Jag har använt det för att bara presentera RDP och sedan kan användarna RDP:a från det till sina skrivbord.
RDweb/RDgateway innebär inget VPN. Det innebär att användarens hemmasystem inte är direkt anslutet till ditt LAN. Det minskar attackytan enormt.
Du tunnlar endast via 443 till din RDS-infrastruktur.
Blockera all utskrift, enhets-, drivrutins- och klippbordsomdirigering för RDP-anslutningen.
Lägg till 2FA eller MFA.
Då blir du relativt säker. Mer säkert än en fjärransluten företagsmaskin på ett VPN.
Den betalda versionen av Forticlient VPN har många extra säkerhetsfunktioner och kan vara värd att undersöka. Jag håller med alla andra att idealet är inga persondatorer, men verkligheten är inte perfekt.
Från slutanvändarens persondator? Nej tack! Jag vill inte att deras enhet ska vara på mitt nätverk… ja det skulle fungera men om det inte är en företagsenhet vill jag inte att den ska röra mitt interna nätverk.
Det finns många bra alternativ, men jag skulle också titta på Windows 365 Cloud PC om du inte redan gjort det.
Ja, fjärrskrivbordsgateway. Du kan till och med lägga till detta till en Azure AD app-proxy, lägga till MFA.
Jag använder AVD nu, men har erfarenhet av att bygga den här typen av lösning tidigare. Låt mig veta.
Förutsatt att det finns minst en VPN-klient installerad på dessa maskiner och inte bara RDP exponerat för världen…
Om klientmaskinen är hackad kan den lätt lyssna efter lösenord via tangentbordsinmatning. Men det kan också hända om användaren loggar in på O365. Samma med att stjäla lagrade autentiseringsuppgifter… det går inte att förhindra med bara VPN-klienten (men det går inte heller att hindra folk från att skapa Desktop\Passwords.txt)
Annars kan malware köras i användarkontext som inte har behörighet på företagsystemen, men kan söka efter exploits. Jag skulle blockera all trafik förutom tcp3389 från VPN-nätverket, och även blockera peer-to-peer på VPN. Jag skulle inte göra forced tunneling för det hjälper inget, och frustrerar användare som kan hitta på att överskrida det.
Det är inte idealiskt, men om du tänker på att “bäst” är att stänga av alla maskiner och gå hem, så är det ganska rimligt.
Har ni ett klient-VPN-produkt nu? När de är anslutna kan de RDP:a vart de vill.
Teradici-lösningen bör kunna tillåta det du söker.
Det bör möjliggöra en direktanslutning till en arbets-PC medan anslutningen är säker. OM jag minns rätt från min tid med VMware Horizon View, kan du blockera saker som kopiering och klistra in, medan du presenterar en virtuell skrivbordsupplevelse från en dator.
Jag var i samma situation. Seniorpersonal vill använda sina egna datorer. Jag insisterade på att köpa extra antivirusskydd och säkerhetsprogram för dessa datorer. Till exempel använder vi Malwarebytes hanterat från molnet, så jag skaffade fler licenser och distribuerade det på alla dessa PC:er. Skaffa paketet för spårning av ransomware. Kanske någon form av trafikövervakningsprogram. Minst får du viss synlighet. Om antiviruset rapporterar skadlig malware på deras datorer, tar jag det direkt till högsta ledningen. Några backade direkt när de insåg att jag skulle installera saker på deras datorer.
Edit: Citrix XenApp fungerar. Du kan publicera fjärrskrivbord via Citrix-portal och de kan få tillgång till det där. De måste installera Citrix Workspace på sina persondatorer.
Vi använder Parsec Teams. Speciellt för videoredigering, maskiner för redaktörerna rör aldrig vårt interna nätverk.
Det finns inget sätt att skicka filer över anslutningen, så det är tillräckligt säkert. Det är dock ganska dyrt jämfört med andra lösningar som Splashtop ($30/plats vs $5/plats).
Om du väljer Citrix kan du tillhandahålla fjärråtkomst till fysiska PC:er i ditt nätverk med rätt licenser. Annars verkar en RDP-gateway passa för din användning.