1. හැඳින්වීම

දුරස්ථ ප්‍රවේශ පද්ධති ක්‍රියාත්මක නොවූ සමාගම් මාස කිහිපයකට පෙර ඒවා කඩිනමින් යොදවා ඇත. සියලුම පරිපාලකයින් එවැනි "උණුසුම" සඳහා සූදානම් නොවීය, එහි ප්‍රතිඵලයක් ලෙස ආරක්‍ෂක අඩුපාඩු ඇති විය: වැරදි සේවා වින්‍යාස කිරීම හෝ කලින් සොයාගත් දුර්වලතා සහිත මෘදුකාංගවල යල් පැන ගිය අනුවාද පවා ස්ථාපනය කිරීම. සමහරුන්ට, මෙම අතපසුවීම් දැනටමත් වර්ධනය වී ඇත, අනෙක් අය වඩාත් වාසනාවන්ත විය, නමුත් සෑම කෙනෙකුම නිසැකවම නිගමනවලට එළඹිය යුතුය. දුරස්ථ වැඩ සඳහා පක්ෂපාතීත්වය ඝාතීය ලෙස වැඩි වී ඇති අතර, වැඩි වැඩියෙන් සමාගම් දුරස්ථ වැඩ පිළිගත හැකි ආකෘතියක් ලෙස අඛණ්ඩ පදනමක් මත පිළිගනී.

එබැවින්, දුරස්ථ ප්රවේශය සැපයීම සඳහා බොහෝ විකල්ප තිබේ: විවිධ VPNs, RDS සහ VNC, TeamViewer සහ වෙනත් අය. ආයතනික ජාලයක් සහ එහි උපාංග ගොඩනැගීමේ විශේෂතා මත පදනම්ව පරිපාලකයින්ට තෝරා ගැනීමට බොහෝ දේ ඇත. VPN විසඳුම් වඩාත් ජනප්‍රියව පවතී, කෙසේ වෙතත්, බොහෝ කුඩා සමාගම් RDS (දුරස්ථ ඩෙස්ක්ටොප් සේවා) තෝරා ගනී, ඒවා යෙදවීමට සරල සහ වේගවත් වේ.

මෙම ලිපියෙන් අපි RDS ආරක්ෂාව ගැන වැඩි විස්තර කතා කරමු. අපි දන්නා දුර්වලතා පිළිබඳ කෙටි දළ විශ්ලේෂණයක් කරමු, සහ සක්‍රීය නාමාවලිය මත පදනම් වූ ජාල යටිතල ව්‍යුහයකට ප්‍රහාරයක් දියත් කිරීමේ අවස්ථා කිහිපයක් ද සලකා බලමු. දෝෂ මත වැඩ කිරීමට සහ ආරක්ෂාව වැඩි දියුණු කිරීමට අපගේ ලිපිය යමෙකුට උපකාර කරනු ඇතැයි අපි බලාපොරොත්තු වෙමු.

2. මෑත RDS/RDP දුර්වලතා

ඕනෑම මෘදුකාංගයක ප්‍රහාරකයන් විසින් ප්‍රයෝජනයට ගත හැකි දෝෂ සහ දුර්වලතා අඩංගු වන අතර RDS ද ව්‍යතිරේකයක් නොවේ. මයික්‍රොසොෆ්ට් මෑතක සිට නව දුර්වලතා නිතර වාර්තා කරයි, එබැවින් අපි ඔවුන්ට කෙටි දළ විශ්ලේෂණයක් ලබා දීමට තීරණය කළෙමු:

• CVE-2019-0787

මෙම අවදානම අවදානමට ලක් වූ සේවාදායකයකට සම්බන්ධ වන පරිශීලකයින් අවදානමට ලක් කරයි. ප්‍රහාරකයෙකුට පරිශීලකයෙකුගේ උපාංගයේ පාලනය ලබා ගැනීමට හෝ ස්ථිර දුරස්ථ ප්‍රවේශයක් ලබා ගැනීමට පද්ධතිය තුළ අඩිතාලමක් ලබා ගත හැක.

• CVE-2019-1181 / CVE-2019-1182 / CVE-2020-0609

මෙම දුර්වලතා සමූහය, විශේෂයෙන් සැකසූ ඉල්ලීමක් භාවිතයෙන් RDS ධාවනය වන සේවාදායකයක් මත අත්තනෝමතික කේතය දුරස්ථව ක්‍රියාත්මක කිරීමට සත්‍යාපනය නොකළ ප්‍රහාරකයෙකුට ඉඩ දෙයි. ජාලයේ අසල්වැසි උපාංග ස්වාධීනව ආසාදනය කරන පණුවන් - අනිෂ්ට මෘදුකාංග නිර්මාණය කිරීමට ද ඒවා භාවිතා කළ හැකිය. මේ අනුව, මෙම දුර්වලතා සමස්ත සමාගමේ ජාලය අනතුරට පත් කළ හැකි අතර, කාලෝචිත යාවත්කාලීන කිරීම් පමණක් ඒවා සුරැකිය හැක.

දුරස්ථ ප්‍රවේශ මෘදුකාංගය පර්යේෂකයන් සහ ප්‍රහාරකයින් යන දෙඅංශයෙන්ම වැඩි අවධානයක් ලබා ඇත, එබැවින් අපට තවත් සමාන දුර්වලතා ගැන ඉක්මනින් අසන්නට ලැබේ.

ශුභාරංචිය නම්, සියලුම දුර්වලතා සඳහා පොදු සූරාකෑම් නොමැත. නරක ආරංචිය නම් විශේෂඥ දැනුමක් ඇති ප්‍රහාරකයෙකුට විස්තරය මත පදනම්ව හෝ Patch Diffing වැනි ක්‍රම භාවිතා කරමින් අවදානමක් සඳහා සූරාකෑමක් ලිවීම අපහසු නොවනු ඇත (අපගේ සගයන් ඒ ගැන ලියා ඇත ලිපියයි) එමනිසා, ඔබ නිතිපතා මෘදුකාංග යාවත්කාලීන කිරීම සහ සොයාගත් දුර්වලතා පිළිබඳ නව පණිවිඩවල පෙනුම නිරීක්ෂණය කරන ලෙස අපි නිර්දේශ කරමු.

3. ප්රහාර

අපි ලිපියේ දෙවන කොටස වෙත ගමන් කරමු, එහිදී අපි ක්රියාකාරී නාමාවලිය මත පදනම් වූ ජාල යටිතල පහසුකම් මත ප්රහාර ආරම්භ වන ආකාරය පෙන්වනු ඇත.

විස්තර කරන ලද ක්‍රම පහත ප්‍රහාරක ආකෘතියට අදාළ වේ: පරිශීලක ගිණුමක් ඇති සහ දුරස්ථ ඩෙස්ක්ටොප් ගේට්වේ වෙත ප්‍රවේශය ඇති ප්‍රහාරකයෙකු - ටර්මිනල් සේවාදායකයක් (බොහෝ විට එය බාහිර ජාලයකින් ප්‍රවේශ විය හැකිය). මෙම ක්‍රම භාවිතා කිරීමෙන්, ප්‍රහාරකයාට යටිතල ව්‍යුහයට ප්‍රහාරය දිගටම කරගෙන යාමට සහ ජාලයේ ඔහුගේ පැවැත්ම තහවුරු කිරීමට හැකි වේ.

එක් එක් විශේෂිත අවස්ථාවන්හි ජාල වින්‍යාසය වෙනස් විය හැකි නමුත් විස්තර කරන ලද ශිල්පීය ක්‍රම තරමක් විශ්වීය ය.

සීමා සහිත පරිසරයක් අත්හැර වරප්‍රසාද වැඩි කිරීමේ උදාහරණ

Remote Desktop Gateway වෙත ප්‍රවේශ වන විට, ප්‍රහාරකයෙකුට යම් ආකාරයක සීමා සහිත පරිසරයක් මුණගැසෙනු ඇත. ඔබ ටර්මිනල් සේවාදායකයකට සම්බන්ධ වූ විට, එය මත යෙදුමක් දියත් කරනු ලැබේ: අභ්‍යන්තර සම්පත්, Explorer, කාර්යාල පැකේජ හෝ වෙනත් මෘදුකාංග සඳහා දුරස්ථ ඩෙස්ක්ටොප් ප්‍රොටෝකෝලය හරහා සම්බන්ධ වීමට කවුළුවක්.

ප්‍රහාරකයාගේ ඉලක්කය වනුයේ විධාන ක්‍රියාත්මක කිරීමට ප්‍රවේශය ලබා ගැනීමයි, එනම් cmd හෝ powershell දියත් කිරීමයි. සම්භාව්‍ය වින්ඩෝස් සැන්ඩ්බොක්ස් ගැලවීමේ ක්‍රම කිහිපයක් මේ සඳහා උපකාරී වේ. අපි ඒවා තවදුරටත් සලකා බලමු.

විකල්ප 1. ප්‍රහාරකයාට දුරස්ථ ඩෙස්ක්ටොප් ගේට්වේ තුළ දුරස්ථ ඩෙස්ක්ටොප් සම්බන්ධතා කවුළුව වෙත ප්‍රවේශය ඇත:

"විකල්ප පෙන්වන්න" මෙනුව විවෘත වේ. සම්බන්ධතා වින්‍යාස ගොනු හැසිරවීම සඳහා විකල්ප දිස්වේ:

මෙම කවුළුවෙන් ඔබට ඕනෑම "විවෘත" හෝ "සුරකින්න" බොත්තම් ක්ලික් කිරීමෙන් පහසුවෙන් Explorer වෙත පිවිසිය හැක:

ගවේෂකය විවෘත වේ. එහි "ලිපින තීරුව" මඟින් අවසර ලත් ක්‍රියාත්මක කළ හැකි ගොනු දියත් කිරීමට මෙන්ම ගොනු පද්ධතිය ලැයිස්තුගත කිරීමට හැකි වේ. පද්ධති ධාවක සැඟවී ඇති සහ සෘජුව ප්‍රවේශ විය නොහැකි අවස්ථා වලදී ප්‍රහාරකයෙකුට මෙය ප්‍රයෝජනවත් විය හැක:

→ Demo වීඩියෝව

උදාහරණයක් ලෙස, දුරස්ථ මෘදුකාංගයක් ලෙස මයික්‍රොසොෆ්ට් ඔෆිස් කට්ටලයෙන් එක්සෙල් භාවිතා කරන විට සමාන දර්ශනයක් ප්‍රතිනිෂ්පාදනය කළ හැකිය.

→ Demo වීඩියෝව

මීට අමතරව, මෙම කාර්යාල කට්ටලයේ භාවිතා කරන මැක්රෝස් ගැන අමතක නොකරන්න. අපේ සගයන් මේකේ සාර්ව ආරක්ෂාව පිළිබඳ ගැටලුව දෙස බැලුවා ලිපියයි.

විකල්ප 2. පෙර අනුවාදයේ මෙන් එකම යෙදවුම් භාවිතා කරමින්, ප්‍රහාරකයා එකම ගිණුම යටතේ දුරස්ථ ඩෙස්ක්ටොප් එකට සම්බන්ධතා කිහිපයක් දියත් කරයි. ඔබ නැවත සම්බන්ධ වන විට, පළමු එක වසා දමනු ඇත, සහ දෝෂ දැනුම්දීමක් සහිත කවුළුවක් තිරය මත දිස්වනු ඇත. මෙම කවුළුවේ ඇති උදව් බොත්තම සේවාදායකයේ Internet Explorer අමතනු ඇත, ඉන් පසුව ප්රහාරකයාට Explorer වෙත යා හැක.

→ Demo වීඩියෝව

විකල්ප 3. ක්‍රියාත්මක කළ හැකි ගොනු දියත් කිරීමේ සීමා වින්‍යාස කර ඇත්නම්, ප්‍රහාරකයෙකුට සමූහ ප්‍රතිපත්ති මඟින් cmd.exe ධාවනය කිරීම පරිපාලකයාට තහනම් කරන තත්වයක් ඇති විය හැක.

cmd.exe /K <command> වැනි අන්තර්ගතය සහිත දුරස්ථ ඩෙස්ක්ටොප් එක මත bat ගොනුවක් ධාවනය කිරීමෙන් මෙය මඟහරවා ගැනීමට ක්‍රමයක් තිබේ. cmd ආරම්භ කිරීමේදී දෝෂයක් සහ bat ගොනුවක් ක්‍රියාත්මක කිරීමේ සාර්ථක උදාහරණයක් පහත රූපයේ දැක්වේ.

විකල්ප 4. ක්‍රියාත්මක කළ හැකි ලිපිගොනු වල නම මත පදනම්ව අසාදු ලේඛන භාවිතයෙන් යෙදුම් දියත් කිරීම තහනම් කිරීම කෝකටත් තෛලයක් නොවේ; ඒවා මඟ හැරිය හැක.

පහත තත්ත්වය සලකා බලන්න: අපි විධාන රේඛාවට ප්‍රවේශය අක්‍රිය කර ඇත, කණ්ඩායම් ප්‍රතිපත්ති භාවිතයෙන් Internet Explorer සහ PowerShell දියත් කිරීම වැළැක්වීය. ප්‍රහාරකයා උදව් සඳහා ඇමතීමට උත්සාහ කරයි - ප්‍රතිචාරයක් නැත. Shift යතුර එබීමෙන් හැඳින්වෙන මාදිලි කවුළුවක සන්දර්භය මෙනුව හරහා powershell දියත් කිරීමට උත්සාහ කිරීම - පරිපාලක විසින් දියත් කිරීම තහනම් කර ඇති බවට පණිවිඩයක්. ලිපින තීරුව හරහා powershell දියත් කිරීමට උත්සාහ කරයි - නැවතත් ප්‍රතිචාරයක් නැත. සීමාව මඟ හරින්නේ කෙසේද?

C:WindowsSystem32WindowsPowerShellv1.0 ෆෝල්ඩරයේ සිට powershell.exe පරිශීලක ෆෝල්ඩරයට පිටපත් කිරීම ප්‍රමාණවත් වේ, නම powershell.exe හැර වෙනත් දෙයකට වෙනස් කරන්න, සහ දියත් කිරීමේ විකල්පය දිස්වනු ඇත.

පෙරනිමියෙන්, දුරස්ථ ඩෙස්ක්ටොප් එකකට සම්බන්ධ වන විට, සේවාදායකයාගේ දේශීය තැටි වෙත ප්‍රවේශය සපයනු ලැබේ, ප්‍රහාරකයෙකුට powershell.exe පිටපත් කර එය නැවත නම් කිරීමෙන් පසුව එය ක්‍රියාත්මක කළ හැක.

→ Demo වීඩියෝව

අපි ලබා දී ඇත්තේ සීමාවන් මඟ හැරීමට ක්‍රම කිහිපයක් පමණි; ඔබට තවත් බොහෝ අවස්ථා සමඟ පැමිණිය හැකිය, නමුත් ඒවා සියල්ලටම පොදු දෙයක් ඇත: Windows Explorer වෙත ප්‍රවේශය. සම්මත වින්ඩෝස් ගොනු හැසිරවීමේ මෙවලම් භාවිතා කරන යෙදුම් බොහොමයක් ඇති අතර, සීමිත පරිසරයක තැබූ විට, සමාන තාක්ෂණික ක්රම භාවිතා කළ හැකිය.

4. නිර්දේශ සහ නිගමනය

අපට පෙනෙන පරිදි, සීමිත පරිසරයක් තුළ පවා ප්රහාරක සංවර්ධනය සඳහා ඉඩකඩ තිබේ. කෙසේ වෙතත්, ඔබට ප්‍රහාරකයාට ජීවිතය වඩාත් දුෂ්කර කළ හැකිය. අප සලකා බැලූ විකල්පයන් සහ වෙනත් අවස්ථා වලදී ප්රයෝජනවත් වන පොදු නිර්දේශ අපි ලබා දෙන්නෙමු.

• කණ්ඩායම් ප්‍රතිපත්ති භාවිතයෙන් වැඩසටහන් දියත් කිරීම් කළු/සුදු ලැයිස්තුවලට සීමා කරන්න.
  කෙසේ වෙතත්, බොහෝ අවස්ථාවලදී, කේතය ක්රියාත්මක කිරීමට හැකි වේ. ව්‍යාපෘතිය පිළිබඳව ඔබ හුරුපුරුදු වන ලෙස අපි නිර්දේශ කරමු ලොල්බාස්, ගොනු හැසිරවීමේ සහ පද්ධතියේ කේත ක්‍රියාත්මක කිරීමේ ලේඛනගත නොකළ ක්‍රම පිළිබඳ අදහසක් ලබා ගැනීමට.
  සීමා කිරීම් වර්ග දෙකම ඒකාබද්ධ කිරීමට අපි නිර්දේශ කරමු: උදාහරණයක් ලෙස, ඔබට Microsoft විසින් අත්සන් කරන ලද ක්‍රියාත්මක කළ හැකි ගොනු දියත් කිරීමට ඉඩ දිය හැකිය, නමුත් cmd.exe දියත් කිරීම සීමා කරන්න.
• ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් සිටුවම් ටැබ් අක්‍රීය කරන්න (රෙජිස්ට්‍රි තුළ දේශීයව කළ හැක).
• regedit හරහා වින්ඩෝස් බිල්ට් උදව් අක්‍රීය කරන්න.
• පරිශීලකයන් සඳහා එවැනි සීමාවක් තීරනාත්මක නොවේ නම් දුරස්ථ සම්බන්ධතා සඳහා දේශීය තැටි සවිකිරීමේ හැකියාව අක්රිය කරන්න.
• පරිශීලක ෆෝල්ඩර වෙත පමණක් ප්‍රවේශය තබමින් දුරස්ථ යන්ත්‍රයේ ප්‍රාදේශීය ධාවක වෙත ප්‍රවේශය සීමා කරන්න.

ඔබ එය අවම වශයෙන් රසවත් බව අපි බලාපොරොත්තු වන අතර, උපරිම වශයෙන්, මෙම ලිපිය ඔබේ සමාගමෙහි දුරස්ථ වැඩ ආරක්ෂිත කිරීමට උපකාරී වනු ඇත.

මූලාශ්රය: www.habr.com