Melhores práticas - Segurança no uso de Thin Clients com Remote Desktop Services

A utilização de equipamentos como Thin Clients facilitam muito a implementação de grandes ambientes, possuem um baixo custo, tanto na aquisição como na sua manutenção. Mas o seu uso deve ser efetuado pensando sempre na segurança, e tenha sempre em mente que, Thin Client não é PC, não deve ser utilizado como um desktop.

O objetivo desse artigo é tratar de algumas dicas de Melhores Práticas de Segurança ao implementarmos essa solução.

Sessões de Área de Trabalho Remota opera em um canal criptografado, impedindo qualquer um visualizar sua sessão. No entanto, existe uma vulnerabilidade no método usado para criptografar sessões em versões anteriores do RDP. Esta vulnerabilidade pode permitir o acesso não autorizado de um ataque man-in-the-middle (homem do meio). O Remote Desktop pode ser protegido usando SSL/TLS no Windows Vista, Windows 7 e Windows Server 2003/2008.

O Remote Desktop é mais seguro que algumas ferramentas de acesso remoto, que não criptografam a sessão. As dicas a seguir vão ajudar a garantir o acesso Remoto para servidores e Desktops de uma forma mais segura.

Dicas de Segurança Básica para Remote Desktops

Uso de senhas fortes

O uso de senhas complexas em qualquer conta que use o Remote Desktop deve ser levada em consideração, muitos softwares mal-intencionados, malwares, vírus e outras pragas tentam utilizar vários métodos para descobrir suas senhas. Para prevenir esse tipo de ataque a solução não gera custo, não precisamos adquirir nenhuma ferramenta, apenas aplicando uma política de criação de senhas fortes inibe esse tipo de ação, pois para descobrir uma senha do tipo “123” é muito mais rápido e fácil do que “umD01str35”. Alguns métodos utilizados são Força Bruta, “Tentativa e Erro”, algumas aplicações possuem até dicionários com as senhas mais utilizadas.

Esse deve ser considerado um passo necessário antes de habilitar o Remote Desktop.

 

Esteja sempre Atualizado

A vantagem de utilizar o Remote Desktop ao invés de ferramentas de terceiros é que os componentes são automaticamente atualizados para as últimas correções de segurança no ciclo padrão de atualização da Microsoft. Verifique se o seu RDP está executando as versões mais recentes do software cliente e servidor. Se você estiver usando clientes de desktops remoto de outras plataformas, certifique-se que suas versões sejam suportadas e que possuam as versões mais recentes. As versões mais antigas não suportam níveis altos de criptografia e podem ter falhas de segurança.

 

Restringir o Acesso por meio de Firewalls

Use Firewalls (Software e Hardware quando possível) para restringir o acesso a portas de escuta do RDP (o padrão é TCP 3389). O uso de um Gateway RDP é altamente recomendado para restringir o acesso RDP para servidores e desktops, pode ser também uma boa prática alterar a porta TCP padrão, mas antes verifique as consequências dessa alteração em seu ambiente.

 

Ativar a Autenticação de Nível de Rede

Alguns sistemas operacionais mais atuais como Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, e Windows Server 2012, fornecem a autenticação de nível de rede (NLA) por padrão. É melhor deixar o seu uso ativado, pois o NLA fornece um nível extra de autenticação antes de uma conexão ser estabelecida. Você só deve configurar os servidores de Área de Trabalho Remota para permitir conexões sem NLA se você usar clientes de desktop remoto em outras plataformas que não o suportam. Para habilitar p NLA em clientes com Windows XP SP3, consulte a base de conhecimento Microsoft http://support.microsoft.com/kb/951608.

 

Limitar os usuários que podem fazer logins usando o Remote Desktop

Por padrão, todos os administradores podem efetuar login no Remote Desktop. No caso de você possuir várias contas de administrador deve-se limitar o acesso remoto apenas para as contas que precisam.

Em um ambiente que possui um domínio do Active Directory podemos restringir esse acesso acessando as opções de segurança do Active Directory:

1. Clique em Start -> Programs -> Administrative Tools -> Local Security Policy.
2. Em Local Policies -> User Rigths Assignment, vá para “Allow logon through Terminal Services”, ou “Allow logon through Remote Desktops Services”.
3. Remova o Grupo Administradores e deixe o Grupo Usuários da Área de Trabalho Remota.
4. Use a ferramenta “Usuários e Computadores do Active Directory” para gerenciar os membros do Grupo “Usuários da Área de Trabalho Remota”

Um sistema operacional típico Microsoft terá a seguinte configuração por padrão, como visto na política de segurança local:

Outro problema é o uso de contas de administração local, devemos evitar ao máximo o uso dessas contas ao efetuar logon não somente nos Thin Clients, mas também em qualquer estação de trabalho de nosso ambiente, pois caso isso seja verdadeiro em sua rede, malwares podem se utilizar desse recurso para fazer proveito dos privilégios administrativos que esse tipo de conta permite.

Para evitarmos essa situação podemos controlar o acesso aos sistemas usando “Grupos Restritos” em Group Policy.

 

Definir uma política de bloqueio de conta

Ao definir o seu computador para bloquear uma conta por um período de tempo depois de uma série de tentativas incorretas, você vai ajudar a impedir que os hackers que utilizam ferramentas de adivinhação de senhas tenham acesso ao seu sistema (conhecido também como ataque de força bruta). Para definir uma política de bloqueio de conta:

1. Vá para -> Programas -> Administrative Tools -> Local Security Policy
2. Em Account Policies -> Account Lockout Policies, defina o valor para as três opções. 3 para tentativas inválidas com 3 minutos de duração de bloqueio são alterações razoáveis.

 

Melhores Práticas para segurança Adicional

Alterar a porta de escuta do Remote Desktop

Alterando a porta de escuta vai ajudar a “esconder” o Remote Desktop de hackers que podem atacar a rede de computadores em busca da porta padrão do Remote Desktop (porta TCP). Isto oferece uma proteção eficaz contra as últimas vermes RDP. Para fazer isso, editar a seguinte chave do Registro. (Atenção: Não tente fazer isso a menos que você esteja familiarizado com o Registro do Windows e TCP/IP):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp.

 

Use RDP Gateways

 

O uso de RDP Gateways é fortemente recomendado. Ele oferece uma maneira de restringir fortemente o acesso a portas do Remote Desktop apoiando as conexões remotas através em um servidor “Gateway”. Ao usar um servidor RD Gateway, todos os serviços de desktop remoto em suas estações de trabalho devem ser restrito para permitir apenas o acesso apartir do RD Gateway. O servidor escuta solicitações Remote Desktop em HTTPS (porta 443), e conecta o cliente para o serviço Remote Desktop na máquina de destino.

Existem muitos documentos on line para configurar este componente. A documentação oficial encontra-se aqui http://technet.microsoft.com/en-us/library/dd983949(WS.10).aspx

É também recomendado o uso de certificado digital para conexão com o Servidor RD Gateway, aumentando assim a segurança.

A configuração do seu cliente para usar o RD Gateway é simples. A documentação oficial para cliente Microsoft pode ser acessada aqui http://technet.microsoft.com/en-us/library/cc770601.aspx. Mas esse recurso deve estar ativado em seu servidor.

 

Remote Desktop através de túneis SSH ou IPSec

Se o uso de um RD Gateway não for viável, você pode adicionar uma camada extra de autenticação e criptografia por tunelamento de suas sessões de Área de Trabalho Remota através de IPSec ou SSH. O IPSec está disponível em todos sistemas operacionais Windows desde o Windows 2000, mas o uso e gestão é muito melhor no Windows Vista/7/8/2008 e 2012 (http://technet.microsoft.com/en-us/network/bb531150). Se um servidor SSH estiver disponível, você pode usar o tunelamento SSH para as sessões de Área de Trabalho Remota.

 

Use ferramentas de gestão existentes para Registro de logs e configuração do RDP

 

Com o RDP os logins são auditados no log de segurança local, e muitas vezes para o sistema de auditoria do controlador de domínio. Ao monitorar logs de segurança locais, procure por anomalias em sessões RDP, tais como tentativas de login da conta Admisnitrador local. O RDP também tem a vantagem de uma abordagem de gestão centraç através de GPO. Sempre que possível, usar GPOs do Windows ou outras ferramentas de gerenciamento de configuração para garantir uma configuração consistente e segura do RDP em todos os seus servidores e desktops.

Ao impor o uso de um RDP Gateway, você também terá um terceiro nível de auditoria que é mais fácil de ler do que vasculhar os logins do controlador de domínio, e é separada da máquina alvo. Esse tipo de registro é muito mais fácil de controlar como e quando RDP está sendo usado em todas as máquinas em seu ambiente.

 

Segurança adicional com o Network Access Protection (NAP)

 

Você pode implementar o aumento de segurança com o NAP, para garantir que somente estações saudáveis tenham acesso ao seu servidor de Área de trabalho Remota, mas tenha o cuidado de analisar a compatibilidade dos cientes antes de usar essa tecnologia.

 

Outras dicas básicas devem ser observadas, como por exemplo, o uso do Thin Client como um PC, a maioria desses equipamentos vem com a permissão de escrita bloqueada, não habilite, ela vem com essa opção para impedir que softwares mal intencionados se instalem nele, evite a instalação de softwares no equipamento, o ideal é usuário logar e já ter acesso direto à sessão da área de trabalho remota.

Considere também a opção de login do usuário na sessão remota, onde após entrar com as credenciais a sessão já carregar o aplicativo, e ao encerrar a aplicação a sessão será finalizada.

Seguindo essas dicas seu ambiente estará muito mais seguro e estável, facilitando assim o diagnóstico de possíveis problemas que venha a ocorrer. Algumas considerações relacionadas à segurança podem ser encontradas aqui http://technet.microsoft.com/en-us/library/cc736405%28v=ws.10%29.aspx