因疫情帶來的遠距工作情境,已經成為了許多人的新常態,但並非每個人都能輕鬆適應或轉換到 Work From Home 的模式,畢竟過往在公司的電腦中,我們可能存有一大堆必要資料,若突然之間就得完全轉為線上存取,事實上並沒有想像中如此簡單,所以應用「遠端控制」就成了最方便的熱門選項。
但是,遠端連線就意味著必須經過開放網路,而經過網路就代表會有潛在的資安風險,尤其開啟了遠端桌面功能的電腦,就相當於將系統控制權,毫無保留的暴露在廣大的網際網路上,因此使用者有必要做好適當措施,避免資料外流或遭到他人入侵。
在本次的特別企劃中,筆者以坊間熱門的三套遠端控制軟體,分別為 AnyDesk、Chrome 遠端桌面與 Windows 遠端桌面進行示範,找出這些工具中,關鍵且重要的安全性相關選項,進一步幫助讀者降低資安風險。
遠距工作不可忽略的風險
在電腦領域中,遠端控制是發展歷史相當長久的技術,但也是最容易造成資料外洩、隱私風險的管道。尤其近幾年遠距工作成為新常態,企業為了因應員工需求,大幅放寬對遠距控制的相關限制,讓駭客有了可趁之機,竊取資料或破壞系統,使相關資安議題因此浮上檯面。
為了兼顧遠端控制的方便與安全,我們其實可以謹記幾項基本的資安觀念,打造低風險的使用環境,尋求兩者之間的平衡。
區分使用者權限
對於作業系統而言,唯有管理者給予多少權限,使用者才被允許操作多少動作,因此只要做好適當的權限控管,就能避免錯誤的人或程式,接觸到他們不該處理的檔案。
在進行遠端作業之前,使用者應該要事先規劃好,哪些資料是可以被遠端存取,而哪些資料不行,無論是針對資料本身進行限制,或者針對使用者的權限進行設定,只要能夠達成相同效果,即便費時費力都應該要盡量去做,因為這對於資安來說是最有效的保障。
凡走過必留記錄
當我們需要藉由遠端連線控制電腦時,通常意味著使用者當下不在裝置前,而在電腦等待被控制的這段期間中,若有其他人透過遠端或直接方式操作裝置,那擁有者理應要得到通知,明白自己的電腦曾經遭到他人存取。
俗話說凡走過必留下痕跡,只要懂得隨時檢查自己的電腦是否有被連線、登入及存取的記錄,對於隱私安全的提升將會有著極大幫助。
防毒檢查有必要
遠端控制涉及了兩台裝置之間的通訊,除了使用者手動的操作之外,裝置與裝置之間,還會有許多我們看不見的作業產生,因此藉由防毒軟體來把關這些非手動操作,阻擋病毒、木馬等惡意程式的擴散,就是提升資訊安全最簡單的手段。
在 Windows 8之後,微軟已經為系統預設了 Defender 防毒軟體,使大多數電腦具備了一定的安全性,只要再記得定期為主控端與被控端裝置,執行更新、掃毒等作業,即可打造出低風險的遠端連線環境。
讓AnyDesk總是跳出授權詢問視窗
市面上大多數的遠端桌面軟體,都會要求連線端提供帳號、密碼,才得以存取被控端電腦上的資料,不過 AnyDesk 預設並不會啟用密碼功能,只要透過 ID 即可進行連線。正常情況下,當遠端電腦收到主控端的連線要求時,AnyDesk 應該要自動跳出通知提醒,不過使用者若發現視窗根本沒有顯示出來,則可以透過設定將其恢復預設,並且清除原先給予的授權資訊,有效提升使用 AnyDesk 的隱私安全,避免電腦在背景遭到他人連線控制而毫無知覺。
步驟1.在被控端電腦上開啟 AnyDesk 主畫面後,點選右上角的四條線圖示,並按下「設定」。
步驟2.接著在設定的左邊欄中找到「安全性」,並點選右邊的「解鎖安全性設定」。
步驟3.更改「互動式存取」區塊的選項,點擊「永遠顯示連入工作階段的請求」。
步驟4.接著取消勾選「權限」區塊的「允許其他設備儲存此桌面的登入資訊」,再按下「清除所有權杖」。
步驟5.接著將畫面下拉,取消勾選「探索」區塊的兩個選項,讓經由ID連線電腦成為唯一方法,進一步提高安全性。
為AnyDesk的無人值守設定複雜密碼
在啟用 AnyDesk 的無人值守設定進行遠端連線時,軟體會要求使用者建立一組密碼,藉此進行身分驗證。考量到安全性,AnyDesk 官方強烈建議,這組密碼的長度至少要有12個字符,而且最好包含字母、數字與符號,同時不要為具備明確意義的單詞,以及出現過多的重複或連續組合。面對如此嚴格的要求,建議使用者可藉由「亂數生成器」來製作密碼,若是沒有額外安裝密碼管理軟體,那麼筆者推薦透過LastPass提供的官方線上工具,輕鬆生成高強度密碼。
LastPass Password Generator
工具網址:https://tinyurl.com/yktb3dr4
步驟1.在被控端電腦上開啟 AnyDesk 主畫面後,點選右上角的四條線圖示,並按下「設定無人值守存取的密碼」。
步驟2.接著打開LastPass提供的密碼生成器網頁工具,首先調整密碼長度至12位以上。
步驟3.再來將中間的選項改成「All characters」,藉此設定最為複雜的密碼組合。
步驟4.接著點選右上角的重新整理圖示,並點擊「Copy Password」將密碼複製下來。
步驟5.回到 AnyDesk 畫面,貼上由網頁工具生成的亂數密碼,只要足夠複雜理應會顯示「此密碼很安全」,接續完成設定步驟即可。
使AnyDesk遠端操作留下錄影記錄
為了確定在無人值守期間,究竟有誰曾經透過遠端方式連線到電腦上,並且對系統進行了哪些操作,AnyDesk 提供了內建的錄影功能,只要開啟被控端就會自動生成錄影檔案,完整呈現電腦在遭到遠端控制後,連入使用者所操作各項行為。此外,主控端也可以在連出的過程中同步錄影,同樣能夠留下一份記錄提供使用者回顧。只不過,AnyDesk 生成的錄影檔案為專有格式,若要重播則必須透過軟體本身才能處理,無法使用第三方播放器。
步驟1.在被控端電腦上開啟 AnyDesk 主畫面後,點選右上角的四條線圖示,並按下「設定」。
步驟2.接著在設定的左邊欄中找到「錄製」,並打勾右邊的兩個核選方塊,如此一來無論是遠端控制他人或被他人控制時,都將能夠進行影片存檔。
步驟3.按下「解鎖錄製設定」並打勾錄製區塊的核選方塊,如此一來只要遠端連線建立系統就會開始錄影,無論使用者是否有進行登入。
步驟4.若要觀看遠端操控期間錄下的影片,點選 AnyDesk 主畫面右上角的四條線圖示,並按下「工作階段錄製」。
步驟5.接著就可以回顧電腦每一次遠端控制/被遠端控制的操作過程,注意到錄影檔名為專屬格式,僅有 AnyDesk 能夠正確播放。
讓Chrome遠端桌面僅透過區網或VPN可用
由於介面簡單易用,很多人會透過 Chrome 的遠端桌面功能,在外輕鬆連回位於公司或家中的電腦。但是對於企業環境來說,系統被遠端控制本身就代表著風險,為了確保安全性,搭配 VPN 使用相關功能其實更有保障。Chrome 遠端桌面可以藉由新增機碼的方式,直接停用防火牆穿越,使電腦被遠端控制的範圍限制在區域網路內,或者僅可透過連入內網的 VPN 建立連線,藉此隔絕外網並將資安風險降至最低。
步驟1.首先在被控端電腦按下「Windows+R」組合鍵叫出執行視窗,接著輸入「regedit」開啟登錄編輯程式。
步驟2.接著在「HKEY_LOCAL_MACHINE」機碼下找到「SOFTWARE」。
步驟3.再來於「SOFTWARE」下找到「Policies」,點擊滑鼠右鍵展開選單,找到「新增」、「機碼」並命名為「Google」。
步驟4.在「Google」底下再新增一個「Chrome」機碼,接著於右邊視窗中,點滑鼠右鍵按「新增」、「DWORD(32-位元)值」。
步驟5.將該值命名為「RemoteAccessHostFirewallTraversal」,數值資料維持「0」即可。
更改Windows遠端桌面的連線埠號
長期以來內建在 Windows 中的遠端桌面功能,可以說是駭客最為垂涎的攻擊目標之一,畢竟它的發展歷史悠久,相關漏洞也容易被抓出來,即便微軟修補得十分勤勞,可是若要提升安全性,還是得仰賴正確的設定及使用習慣。若你正開啟或準備使用 Windows 遠端桌面,建議被控端的連線埠號一定要進行更改,原因在於駭客對預設連接埠的攻擊,通常都是最頻繁、最大宗的,因此若能事先避開,自然就可降低遭到入侵的風險。
步驟1. Windows 遠端桌面的預設連接埠為3389,駭客通常喜歡針對這個埠進行頻繁的攻擊,因此有必要進行更改。
步驟2.在被控端電腦開啟登錄編輯程式,找到「HKEY_LOCAL_MACHINE」機碼底下的「SYSTEM」。
步驟3.接著繼續往下找到「CurrentControlSet」中的「Control」。
步驟4.於「Control」中尋找「Terminal Server」,並再轉至「WinStations」機碼。
步驟5.點開「WinStations」中的「RDP-Tcp」,再於右側找到「PortNumber」將數值資料切換為十進位,把3389改為不會與其他服務衝突的埠號即可。
調閱Windows遠端桌面的登入記錄
雖然說內建於 Windows 中的遠端桌面功能,在啟用與操作上相當方便,但是卻無法像第三方軟體一樣,藉由直觀的方式知道過往有誰曾經連線至電腦中,甚至於是用什麼身分進行登入。對此,我們若要獲得這方面的資訊,就必須藉由 Windows 的另外一個內建功能「事件檢視器」,翻閱稽核事件並進一步過濾關鍵字與查看詳細資料。若使用者的電腦上正開啟著 Windows 遠端桌面,建議三不五時讀取一下記錄,確認系統有沒有異常的連線與登入行為。
步驟1.首先在工作列的 Windows 圖示上,按下滑鼠右鍵並找到「事件檢視器」。
步驟2.接著於左邊欄找到「Windows 記錄」下的「安全性」,就會看到系統所有的機核記錄。
步驟3.點擊右邊欄的「篩選目前的記錄」,並於事件識別碼欄位輸入「4624」進行過濾。
步驟4.事件識別碼篩選後所顯示的稽核記錄,理論都會是使用者登入成功或失敗的記錄,隨意點選一筆開啟詳細資訊。
步驟5.假如在「登入資訊」的「登入類型」中,顯示的代號為「10」,即代表該次事件為遠端桌面連線所產生,若有不明登入應盡快處理。
本文同步刊載於PC home雜誌
歡迎加入PC home雜誌粉絲團!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!