Usługi pulpitu zdalnego (RDS) pozwalają użytkownikom łączyć się z komputerem zdalnym lub maszyną wirtualną w sieci. Dzięki RDS użytkownicy mogą sterować komputerem zdalnym tak jak swoim własnym. Z innej perspektywy RDS umożliwia hostowanie na serwerze wielu symultanicznych sesji klienta. W środowisku komputerów stacjonarnych każdy użytkownik w organizacji ma w swoich maszynach zainstalowane inne aplikacje. Jednak w środowisku RDS użytkownikom mogą zostać udostępnieni „klienci zubożeni”, którzy jedynie łączą się z serwerem terminali. Serwer terminali może następnie połączyć się z innymi serwerami, aby uzyskać dostęp do danych.
Przyjęcie RDS w organizacji pozwala zredukować koszty, zwiększa mobilność i zapewnia skalowalność. Ponadto ogranicza czas i wysiłek wkładany w konfigurację stacji roboczych użytkownika. Z drugiej strony pojawia się spory problem związany z bezpieczeństwem – wdrożenie RDS powoduje zwiększenie liczby punktów końcowych podatnych na zagrożenia, przez co autorzy cyberataków zyskują dodatkowy sposób na przeprowadzenie naruszenia zabezpieczeń danych. Dlatego administratorzy IT muszą stale monitorować sesje RDS, aby mieć pewność, że nie są realizowane żadne złośliwe działania.
W tym artykule w pierwszej kolejności przyjrzymy się temu, w jaki sposób organizacje mogą wdrażać RDS za pomocą PowerShell. Następnie sprawdzimy, w jaki sposób ADAudit Plus – kompletne narzędzie do inspekcji Active Directory – pomaga zabezpieczyć połączenia z pulpitem zdalnym.
Do wdrażania RDS stosuje się polecenie cmdlet PowerShell New-SessionDeployment. Trzy obowiązkowe komponenty RDS, które należy zainstalować w czasie wdrożenia, to: 1) Broker połączeń, 2) Host sesji oraz 3) Dostęp w sieci. Komponenty te pozwalają określić, w jaki sposób użytkownicy mogą stosować RDS po jego wdrożeniu.
RDS można wdrożyć następująco:
New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com
Po wdrożeniu, w celu dokonania inspekcji aktywności zachodzących w RDS, administratorzy mogą użyć PowerShell. Na przykład, aby uzyskać wykaz zdarzeń związanych ze skutecznym uwierzytelnianiem RDP (EventID 4624), administratorzy IT mogą użyć następującego polecenia cmdlet PowerShell:
Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView
Jednak łatwiejszym sposobem na przeprowadzenie inspekcji RDS jest użycie ManageEngine ADAudit Plus