В современном мире, где удалённая работа становится нормой для многих компаний, обеспечение кибербезопасности соединений через Протокол удалённого рабочего стола (RDP) приобретает критическую важность. Пандемия COVID-19 катализировала переход к удалённой работе, что привело к значительному увеличению числа кибератак, направленных на инфраструктуры удалённого доступа. Несмотря на общее осознание рисков, связанных с использованием RDP, многие организации всё ещё испытывают сложности с настройкой адекватной защиты своих систем.

Андрей Толстиков, руководитель направления Информационная безопасность ГК "Форус", подготовил ряд рекомендаций, направленных на укрепление безопасности RDP и защиту корпоративных сетей от потенциальных угроз. Среди ключевых мер – усиление политики паролей, внедрение многофакторной аутентификации, ограничение доступа к портам и регулярное обновление системы патчами безопасности.

Усиление учётных данных пользователя

Слабые или повторно используемые пароли являются одной из наиболее частых уязвимостей, с которыми сталкиваются системы RDP. Такие пароли значительно упрощают задачу злоумышленников, стремящихся получить доступ к корпоративным сетям для распространения вредоносного программного обеспечения. К сожалению, многие компании не придают должного значения управлению паролями, что делает их удалённые подключения уязвимыми для атак методом подбора или использования украденных учётных данных. Это становится основной причиной обращения клиентов к нам за помощью после произошедших инцидентов.

Чтобы противостоять угрозам, связанным со слабыми учётными данными, крайне важно усилить защиту имён пользователей и паролей. Меры включают в себя создание сложных и уникальных паролей, внедрение многофакторной аутентификации и регулярное обновление учётных данных для предотвращения несанкционированного доступа. Строгая политика в отношении паролей значительно повышает уровень безопасности систем RDP, усложняя проведение атак методом подбора и минимизируя риски несанкционированного доступа.

Применение нестандартных правил для именования учётных записей может скрыть важную организационную или личную информацию о сотрудниках, делая имена пользователей менее очевидными для киберпреступников. Это усложняет процесс подбора имён пользователей, адресов электронной почты и паролей, тем самым повышая общую безопасность системы.

Внедрение системы единого входа (Single Sign-On, SSO) значительно упрощает процесс управления учётными записями пользователей в различных системах и приложениях, одновременно укрепляя защиту паролей и обеспечивая возможность использования многофакторной аутентификации. Это не только повышает удобство для пользователей, но и усиливает общую безопасность, минимизируя количество потенциальных точек входа для злоумышленников.

Ограничение доступа к портам

Неограниченный доступ к портам, особенно к порту 3389, который традиционно используется для подключений RDP, значительно увеличивает риск кибератак. Чтобы минимизировать этот риск, крайне важно не разрешать подключения RDP через открытый интернет без строгой политики паролей и многофакторной аутентификации.

Рекомендуется использовать защищённые методы для удалённого доступа и избегать использования открытого интернета для подключений RDP. Злоумышленники могут целенаправленно искать уязвимости в этом порту для проведения атак. Использование VPN обеспечивает создание безопасного туннеля для запросов и блокирует любые попытки подключения, не прошедшие через него, тем самым предотвращая атаки на порт 3389. Также настройка брандмауэра компании для ограничения трафика к порту 3389, за исключением разрешённых IP-адресов, дополнительно усиливает защиту.

Противодействие атакам методом перебора паролей

Атаки методом подбора паролей представляют собой попытки угадать пароль до тех пор, пока не будет найдена правильная комбинация. Успешно получив доступ к серверу, злоумышленники могут отключать защитное программное обеспечение, удалять журналы событий, отключать резервное копирование, загружать вредоносное ПО, переписывать бэкапы, несанкционированно передавать данные или запускать программы для майнинга криптовалюты и вымогательского ПО. Чтобы предотвратить такие атаки, необходимо ограничить количество попыток входа для каждого пользователя и фиксировать как неудачные, так и успешные попытки входа, чтобы отслеживать подозрительную активность.

Обновление и установка патчей

Многие серьёзные уязвимости RDP уже были обнаружены и устранены, однако из-за отсутствия должного внимания к своевременной установке патчей, они продолжают эксплуатироваться злоумышленниками. Регулярное использование последних патчей и обновлений критически важно для защиты от таких уязвимостей. Также рекомендуем использовать сканеры уязвимостей для обнаружения потенциальных слабых мест в инфраструктуре вашей компании. Это позволит вам оперативно реагировать на новые угрозы и предотвращать возможные атаки до того, как они причинят вред.

Управление привилегиями пользователей

Чрезмерные привилегии пользователей могут стать серьёзной угрозой для безопасности системы. Важно провести тщательную оценку необходимости предоставления внешнего доступа к RDP и ограничить доступ удалённых пользователей только к тем данным и ресурсам, которые им действительно необходимы для работы. Разработка и внедрение внутренней документации по политике удалённого доступа и основам кибербезопасности, а также её доведение до сведения всех пользователей, поможет минимизировать риски. Удаление локальных учётных записей администраторов из списка доступа к RDP существенно снижает вероятность успешных атак через удалённый доступ и повышает общую безопасность системы.

Конечная точка доступа – это слабое звено

Контроль за конечными точками доступа является одним из наиболее важных аспектов обеспечения безопасности. Если пользователь подключается к корпоративной инфраструктуре с личного компьютера, на котором может быть установлено небезопасное программное обеспечение, это может аннулировать все предыдущие меры безопасности. Включение многофакторной аутентификации (MFA) добавляет дополнительный уровень защиты, требуя от пользователей подтверждения входа через дополнительный токен безопасности. Кроме того, использование загрузки с внешнего носителя изолированной операционной системы для подключения к корпоративной сети может значительно повысить безопасность удалённого доступа.

Постоянное обучение и повышение осведомлённости

Важным аспектом защиты от киберугроз является постоянное обучение и повышение уровня осведомлённости сотрудников о принципах кибербезопасности и актуальных угрозах. Регулярное проведение тренингов, вебинаров и семинаров по кибербезопасности поможет сотрудникам лучше понимать риски и избегать распространённых ошибок, которые могут привести к компрометации системы. Включение в программу обучения информации о фишинговых атаках, безопасном использовании паролей и методах защиты личных и корпоративных данных сделает вашу команду более подготовленной к противодействию киберугрозам.

В заключении

Протокол удалённого рабочего стола (RDP) остаётся ключевым инструментом для обеспечения удалённого доступа к устройствам в корпоративной сети, но его использование сопряжено с определёнными рисками. Важно не только осознавать эти риски, но и активно действовать для их минимизации, применяя комплексный подход к безопасности. Регулярный контроль и аудит сети, а также применение рекомендованных мер по усилению безопасности помогут защитить вашу сеть от атак через RDP и обеспечить безопасность корпоративных данных.

Несмотря на санкционное давление и рост цен мы смогли не только снизить стоимость на всю линейку программного обеспечения Thinstuff, но и зафиксировать ее на предельно низком уровне. Если вам необходимо организовать возможность удаленной работы в офисе из любой точки мира, то сейчас самое удобное время для того, чтобы приобрести сервер удаленных рабочих столов Thinstuff XP/VS Terminal Server.

• Если в качестве сервера вы планируете использовать настольные версии Windows такие как: Windows XP / 7 / 8 / 10 / 11 в различных модификациях, то вам подойдет версия Lite или Standard
• Если же в качестве серверной ОС вы планируете использование Windows Server, то ваш выбор Standard или Professional версии. 
• Если же у вас уже имеются терминальные сервера работающие в ферме, то ваш выбор однозначно Professional редакции.

А если вам необходимо защитить ваш сервер удаленных рабочих столов от попыток взлома и несанкционированного проникновения, то настоятельно рекомендуем воспользоваться решением TSX Gateway.

Новая версия содержит следующие исправления: Устранена ​​проблема совместимости для операционных систем работающих под управлением Windows 10 с установленным обновлением KB5014023 от 02 июня 2022 г.

Вопрос сохранения работоспособности устаревших компьютеров стал еще более актуальным в свете происходящих событий между Россией и Украиной и санкционными мерами в целом. Так, из-за решений принятых компаниями Intel, AMD и другими производителями компьютерного оборудования по ограничению продаж на территории Российской Федерации и Белоруссии, для многих компаний стал вопрос о дальнейшей модернизации и расширении компьютерного парка.

В решении этой проблемы может помочь программное обеспечение для организации терминальных серверов. В этом случае в качестве пользовательского компьютера могут выступать даже мини компьютеры по типу Raspberry Pi. Для этого достаточно установить на любой компьютер с установленной на нем Windows программу Thinstuff XP/VS Terminal Server, а на мини ПК или тонком клиенте указать IP адрес этого компьютера. 

В результате вы получите несколько компьютеров с хорошей производительностью по весьма низким ценам, что является еще одним важным фактором в нынешних условиях. Стоимость  лицензии на Thinstuff на неограниченное число подключений + стоимость 10 мини компьютеров ниже стоимости одного полноценного современного компьютера.

Если у вас появились вопросы по работе терминальных служб, как их организовать в вашем офисе и что вам лучше выбрать, то вы всегда можете обратиться к нам за консультацией и наши специалисты обязательно помогут вам.  

Рассмотрим вариант с выходом из строя компьютера одного из бухгалтеров в вашем офисе. Купить новый ПК пока не предоставляется возможным, но у вас есть на складе старенький компьютер, на котором кое-как грузится Windows XP или вовсе отсутствует жесткий диск. При этом, у вас имеется еще один работающий компьютер другого бухгалтера или компьютер выполняющий роль сервера. 

Вам достаточно превратить любой из этих компьютеров в сервер удаленных рабочих столов, установив на него XP/VS Terminal Server. Затем с помощью бесплатной версии WTWare (или коммерческой, если вам необходим боле широкий функционал) запускаете TFTP сервис для загрузки по сети. Указываете в параметрах IP адрес компьютера с установленным терминальным сервером и все. Ваш бухгалтер работает быстро и комфортно, а главное с минимальными затратами!

Вопрос:

После обновления Windows 10, терминальный сервер Thinstuff перестал принимать подключения. При попытке обновить терминальный сервер до последней версии - выдается ошибка об отсутствии какого-то файла. При попытке удалить Thinstuff выскакивает та же ошибка. Терминальный сервер не работает. В чем возможные причины и как исправить?

Ответ:

Такая проблема наблюдается, если обновлялась ОС с 32 до 64 битной версии. Есть несколько вариантов решения этой проблемы.

1. Переименуйте или удалите папку с терминальным сервером Thinstuff из папке Program Files
2. Запустите редактор реестра regedit и удалите все ветки связанные с Thinstuff.
3. Переустановите Thinstuff XP/VS Terminal Server. Если все сделали верно, то Сервер терминалов установится и начнет работать.

Второй способ проще:

1. Скачиваем бесплатную portable версию программы Revo Uninstaller www.revouninstaller.com/revo_uninstaller_free_download.html
2. Запускаем. выбираем Thinstuff XP/VS Terminal Server и нажимаем кнопку uninstall.
3. На шаге параметров реестра нажимаем Select All -> Delete
4. Переустанавливаем Thinstuff

ВАЖНО! Если Вы планируете обновлять ОС с 32 до 64 bit. Удаляйте предварительно не только Thinstuff, но и те приложения которые заведомо могут перестать работать. После обновления установите их заново!

ВНИМАНИЕ!!! Помимо обновлений Windows главным источником таких проблем являются утилиты по типу CCleaner, RegCleaner и другие.

1. Открываем командную строку: Нажимаем Win + R или как в случае с Windows 10 - правой кнопкой по кнопке "Пуск" и выбираем команду "Выполнить".

2. Запускаем от лица администратора командную строку набрав cmd и нажав клавишу Enter

3. Переходим в папку с Thinstuff набрав cd "c:\program files\thinstuff\xpvs server"

4. Выполните команду на остановку терминального сервера набрав: net stop thinrdpsrv

5. Останавливаем работу TSX USB выполнив команду: net stop tsxusbsrv 

6. Удаляем службы терминального сервера:thinrdpinstall uninstall

7. Удаляем службу TSX USB: tsxusbinstall uninstall

8. Запишите Product ID выполнив следующую команду::
reg query HKCR\Installer\UpgradeCodes\90F8235DEDB2B834AA6D4561A1E8603E

9.Выполните команду: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\851124596B1E140499F0C1C85F483D53
Внимание, код после Products\ это код, полученный на предшествующем шаге.

10. Выполните команду: reg delete HKCR\Installer\Products\851124596B1E140499F0C1C85F483D53
Внимание, код после Products\ это код, полученный на 8 шаге.

После этого закройте окно консоли и перезапустите компьютер. После перезагрузки, скачайте последнюю версию Thinstuff XP/VS Terminal Server и установите его заново.

ВНИМАНИЕ! Не рекомендуем использовать различные утилиты чистки реестра типа CCleaner, RegCleaner и подобные. Это может привести к проблемам не только связанными с Thinstuff, но и с другими приложениями.

Терминальный сервер – это компьютер, задачей которого является не только предоставлять совместный доступ к сетевой информационной базе, но брать на себя основные вычислительные функции используя ресурсы самого сервера в выделенном пространстве (сеансе), иными словами, задачей сервера терминалов является обслуживание терминальных клиентов.

При работе с 1С в файловом режиме по обычной локальной сети задачи по выполнению расчетов и обработке данных возлагается на компьютер пользователя. При этом все данные от сервера к клиенту передаются по локальной сети и соответственно требования к пропускной способности этой сети весьма высоки. 

В случае с терминальным сервером, все расчеты и обработку данных выполняет сам сервер, при этом по сети не передаются большие объемы данных, поскольку информационная база данных и сама платформа 1С хранятся только на этом сервере. Результат выполненной работы передается в форме изображения экрана на компьютер клиента. По сути, клиент для работы с  1C (клиентский компьютер) это всего лишь клавиатура, мышь  и монитор, которые подключены по сети к терминальному серверу, а сетевой трафик при передачи изображения экрана очень мал и достаточно даже 28 кбит/с для работы одного пользователя.

Благодаря этим факторам, для терминальных клиентов нет необходимости иметь мощные дорогие компьютеры и даже нет необходимости в установке скоростной сети, потому что по сети передается небольшой объем данных, а на компьютере клиента расчеты вообще не выполняются. Как правило, для комфортной работы с 1С и другим программным обеспечением, для клиента достаточно мини компьютера или тонкого клиента ценой от 2000р. Согласитесь, это весьма не значительные деньги. Кроме того, в качестве терминального клиента можно использовать "Умные телевизоры" или смартфоны. 

Помимо сокращения расходов для клиентских компьютеров, уменьшается нагрузка для системных администраторов, так как нет необходимости в установке операционной системы на стороне клиента. а достаточно установить и настроить один сервер терминалов 1С (компьютер с мощным процессором и большим объемом памяти). 

Использование терминального режима дает ряд важных преимуществ в работе пользователей и для организации в целом:

• в значительной степени увеличивается быстродействие работы программ 1С при существенном снижении нагрузки на локальную сеть. Это особенно становится заметно, если вы переходите с файлового сервера на терминальный сервер. В этом случае, скорость работы программ 1C повышается в несколько раз.
• гарантированное сохранение данных при сбоях в сети, поскольку сами данные по сети не передаются. Факт чрезвычайно важный для файл-серверной архитектуры, потому что файловые базы данных 1С очень не любят сетевые сбои и неожиданные отключения питания. В случае использования бездисковых станций или тонких клиентов, у вас нет необходимости в приобретении блоков бесперебойного питания для них, а лишь для сервера;
• заметное снижение стоимости ИТ-структуры у организации, поскольку приобретать мощный компьютер требуется только один, а не на каждое рабочее место;
• значительное снижение нагрузки на ИТ специалистов. благодаря чему они могут заниматься не только текущими проблемами, но и внедрять новые решения для повышения эффективности;
• повышение безопасности работы как с точки зрения физической целостности данных, так и с точки зрения защиты конфиденциальной информации поскольку скопировать рабочую базу с терминального сервера сложнее чем с файлового, а при определенных настройках, это и вовсе становится не возможным;
• существенная экономия при последующих модернизациях компьютерного парка, ведь модернизировать необходимо только сервер.

Таким образом, терминальный сервер для 1С является отличным решением так как это позволяет значительно повысить быстродействие сетевой вычислительной системы и при этом в несколько раз снизить ее общую стоимость.

Но стоит помнить, что для работы 1С и других программ в терминальном режиме, вам понадобится приобрести дополнительную программу – сервер терминалов. Вы можете воспользоваться решениями от Microsoft, а так же использовать бюджетные решения, например Thinstuff XP/VS Terminal Server.

13 октября 2020 года, компания Thinstuff выпустило новую версию терминального сервера Thinstuff XP/VS Terminal Server. В новой версии была исправлена проблема с недоступностью настроек WinTrust.

Fixed some issues for systems with invalid WinTrust settings and systems where the admin policy has disabled user trust

Для обновления действующей версии продукта, сделайте несколько простых действий:

• Перейдите в раздел загрузок на нашем сайте или скачайте новую версию по этой ссылке. 
• Распакуйте архив
• Запустите файл установки и в предложенном варианте действий, выберите Update
• Перезапустите компьютер

Ваша лицензия подключится автоматически и повторная активация лицензии не потребуется.

Проблемы связанные с уязвимостью RDP сессий в Windows известны достаточно давно. Microsoft не спешила исправлять проблемы, но в прошлом году, они все же выпустили патч, который должен был устранить все проблемы, но как оказалось - прошлогодний патч для уязвимости CVE-2019-0887 оказался недостаточно эффективным.

Выпущенное прошлым летом компанией Microsoft исправление для уязвимости обхода каталога в RDP ( CVE-2019-0887 ) оказалось очень легко обойти – достаточно было заменить обратные слэши обычными. Проблема получила собственный идентификатор CVE-2020-0655 и была исправлена Microsoft в рамках февральского «вторника исправления».

Уязвимость позволяла зараженному вредоносным ПО удаленному компьютеру захватить контроль над любым клиентом, пытающимся к нему подключиться. К примеру, если IT-специалист пытался подключиться к зараженному вредоносным ПО корпоративному компьютеру, вредонос мог атаковать и его компьютер тоже.

По данным исследователей компании Check Point, Microsoft исправила уязвимость, добавив обходные пути в Windows, при этом оставив причину проблемы, функцию API PathCchCanonicalize, неизменной. Патч хорошо работает в отношении встроенного в Windows RDP-клиента, но недостаточно эффективно защищает сторонние RDP-клиенты.

Как обнаружили исследователи, атакующий может обойти не только патч, но и проверку канонизации, выполняемую в соответствии с лучшими практиками Microsoft. Функция PathCchCanonicalize, упомянутая в руководстве лучших практик канонизации каталогов в Windows, игнорирует слэши. Исследователи обнаружили это во время изучения клиента Microsoft Remote Desktop для Mac, исключенного из их первоначального анализа в прошлом году. Что интересно, RDP-клиент для macOS сам по себе не уязвим к CVE-2019-0887.

11.11 мы объявляем о настоящей скидке на некоторые программные продукты компании Thinstuff

Многие клиенты уже в полной мере используют терминальный сервер Thinstuff на своих компьютерах. Но за прошедшее время многие компании развились.