2020.04.20

How To : 원격 데스크톱 프로토콜 서버를 잠그는 방법

Susan Bradley | CSO
많은 직원이 재택근무를 하면서 회사 네트워크에 원격 접속하는 경우가 많아지고 있다. 연결 상태는 양호하지만 공격자로부터 네트워크를 보호하기에 충분치 않을 수 있다. 많은 기업이 원격 엑세스를 허용하기 위해 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)로 전환했는데, 주요 공격 경로로 활용되기도 한다. 좀 더 효과적으로 RDP 연결을 잠그는 방법을 소개한다.

 

ⓒ Getty Images Bank


기본 사항: 패치, VPN과 강력한 비밀번호

네트워크에 연결된 모든 원격 시스템이 최신 RDP 취약점을 포함하도록 패치됐는지 확인한다. 윈도우 7 워크스테이션도 포함해야 한다.윈도우7 ESU(Extended Security Update)를 수량에 관계없이 구입할 수 있다. 윈도우 7 워크스테이션을 다시 배치해 재택근무를 지원한다면, 반드시 패치를 해야한다.

다음으로, VPN과 결합된 RDP만 허용한다. 포트 3389를 웹에 직접 노출하면 안된다. 랜섬웨어 공격자는 위치의 발신 전송을 ‘스니핑(Sniff, 가로채기해킹)’하고 TS그라인더(TSgrinder)와 같은 도구를 사용해 RDP 위치의 자격 증명을 무력화한다. 기업의 인바운드 방화벽 규칙에 ‘통제 하에 특정 정적 IP로 엑세스를 제한’하는 설정이 없다면 아웃바운드 포트 3389 연결을 허용하면 안된다.
 
강력한 비밀번호 정책을 시행한다. 직원이 비밀번호를 재사용하지 않도록 한다. 공격자에게 비밀번호를 노출했던 위반사항들을 상기시킨다. RDP 연결 컴퓨터에 비밀번호를 저장하면 안된다.

원격 데스크톱에 2FA(two-factor authentication, 이중 인증)를 추가하는 것이 좋다. 많은 공급업체가 견고한 2FA 옵션을 제공하며, 일부는 현재 무료로 평가판 연장이 가능하다.  


RDS 서버에 네트워크 레벨 인증 사용

블루킵(Bluekeep) 취약점 공격을 완화하기 위한 최근 조언에 따르면, RDP는 절대 공개적으로 노출되면 안된다. 지금 당장은 이를 따르기 어려운 회사도 있다. NLA(Network Level Authentication, 네트워크 레벨 인증)은 사용자가 원격 시스템에 연결하기 전에 인증을 해야 하므로, RDP 기반 악성코드의 성공 확률이 현저히 감소한다.

윈도우 10은 기본적으로 NLA를 활성화하지만, 이전 플랫폼은 그렇지 않을 수 있다. 그룹 정책을 사용해 호스트 플랫폼과 RDS(Remote Desktop Services)에서 NLA를 설정한다. 그룹 정책에서 다음과 같은 순서대로 선택한다.

1. 컴퓨터
2. 정책
3. 윈도우 구성요소
4. 원격 데스크톱 서비스(Remote Desktop Services, RDS)
5. 원격 데스크톱 세션 호스트(Remote Desktop Session Host, RDSH)
6. 보안

원격 데스크톱 세션 호스트 역할을 하는 서버에서 “네트워크 레벨 인증 사용해 원격 연결에 대한 사용자 인증 요구”를 활성화한다.
 
ⓒ Susan Bradley


사용자 종료 기능 비활성화

새로운 사용자는 RDP 서버에 로그인할 때, 원격 컴퓨터에서의 자신의 작업이 이 환경의 모든 사용자에게 영향을 미친다는 사실을 인식하지 못한다. 따라서 다음 단계에 따라 사용자가 시스템을 종료할 수 있는 기능을 비활성화하는 것이 중요하다.

1. RDP 서버 호스트 시스템에서 ‘시작’을 클릭한다.
2. ‘실행’을 클릭한다.
3. gpedit.msc을 입력한다.
4. ‘사용자 구성 > 관리 템플릿’으로 이동한다.
5. ‘시작 메뉴와 작업 표시줄’로 이동한다.
6. ‘종료, 재시작, 절전, 최대절전모드 명령에 대한 엑세스 제거 및 차단’을 클릭한다.
7. 설정을 활성화한다.
 
ⓒ Susan Bradley

관리자 역할을 하는 일부 사용자에게 재부팅을 허용하려면 다음 단계를 수행한다.
 
1. 관리 권한으로 로그인한다.
2. ‘시작’을 클릭한다.
3. ‘실행’을 클릭한다.
4. 보안 정책 편집기를 시작하려면 secpol.msc를 입력한다.
5. ‘로컬 정책’으로 이동한다.
6. ‘사용자 권한 할당’으로 이동한다.
7. ‘시스템 종료’로 이동한다.
8. ‘속성’을 마우스 오른쪽 버튼으로 클릭한다.
9. 사용자를 제거한 후 시스템을 재부팅할 수 있는 관리자 또는 관리자 그룹을 추가한다.
 
ⓒ Susan Bradley


성능 조정

RDP를 배포할 때 사용자 환경이 만족스럽지 않으면, 사용자는 병목 현상을 해결할 방법을 찾는데 이 중에는 개인 이메일 계정으로 파일을 메일로 보내는 것과 같은 보안 위험이 포함돼 있다. 그룹 정책에서 다음의 절차에 따라 성능 설정을 상세 조정한다.  

1. ‘컴퓨터 구성’으로 이동한다.
2. ‘관리 템플릿’으로 이동한다.
3. ‘윈도우 구성요소’로 이동한다.
4. ‘원격 데스크톱 서비스’로 이동한다.
5. ‘원격 데스크톱 세션 호스트’로 이동한다.
6. ‘원격 세션 환경’으로 이동한다.

다음의 설정을 조정할 수도 있다.
 
  • 최대 색 농도 제한 = 15bit
  • 원격 데스크톱 배경화면 강제 제거 = true
  • RemoteFx 사용 시 시각적 경험 최적화 = (화면캡처속도: 최저 + 이미지 품질: 최저)
  • RDP 데이터에 대한 압축 알고리즘 설정 = 네트워크 대역폭 사용을 줄이도록 최적화
  • 원격 데스크톱 서비스 세션에 대한 시각적 경험 최적화 = (시각적 경험 = 텍스트)
  • RemoteFx Adaptive Graphicsd에 대한 이미지 품질 구성 = 중간
  • RemoteFx Adaptive Graphics 구성 = 최소 대역폭 사용에 최적화
 
ⓒ Susan Bradley

‘장치 및 리소스 리디렉션’에서 클립보드 리디렉션, 드라이브 리디렉션, LPT 포트 리디렉션 또는 회사에 적합한 기타 설정을 제한할 수 있다. ‘프린터 리디렉션’에서 사용자가 프린터를 자신의 로컬 컴퓨터로 리디렉션하도록 허용할 수 있다. USB 연결을 통해 프린터를 연결해도 원격 인쇄 사용에 큰 문제를 찾지 못했다.


SSL/TLS 설정

서버에서 SSL과 TLS을 구성할 때, RDP 서버의 설정에 주의해야 한다. 이런 SSL 설정을 잘못하면 사용자가 잠길 수 있다. 특히 윈도우 7 시스템이나 서버 2008에서 TLS 1.0을 사용하지 않도록 설정한 경우, RDP 클라이언트를 RDP 8.1로 업데이트해야 한다.

서버 2008 R2의 경우, RDP용 TLS 1.1 또는 1.2를 지원하는 패치가 필요하다. 더 높은 TLS 설정을 지원하려면 KB3080079 를 설치한다. 레지스트리 키를 통해 SSL 1.0, 2.0, 3.0, TLS 1.0을 비활성화하고 이번 기사에서 언급한 서버와 클라이언트 설정 모두에 대한 TLS 1.1과 1.2를 명시적으로 사용하도록 설정하는 그룹 정책 개체를 설정한다.

IISCrypto를 사용해 TLS 설정을 설정하고 검토할 수 있다. RD게이트웨이(RDgateway)를 사용하는 경우, 외부에서 SSL 테스트를 통해 SSL 설정을 검토한다. KB245030를 검토해 조직에서 사용중인 암호화를 제한한다.


가상 데스크톱 배포

마이크로소프트는 윈도우 버추얼 데스크톱(Windows Virtual Desktop, WVD)이라는 새로운 제품을 제공한다. 기업들은 재택 근무 의무화의 결과로 WVD로의 이동을 가속화하고 있다. editor@itworld.co.kr


2020.04.20

How To : 원격 데스크톱 프로토콜 서버를 잠그는 방법

Susan Bradley | CSO
많은 직원이 재택근무를 하면서 회사 네트워크에 원격 접속하는 경우가 많아지고 있다. 연결 상태는 양호하지만 공격자로부터 네트워크를 보호하기에 충분치 않을 수 있다. 많은 기업이 원격 엑세스를 허용하기 위해 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)로 전환했는데, 주요 공격 경로로 활용되기도 한다. 좀 더 효과적으로 RDP 연결을 잠그는 방법을 소개한다.

 

ⓒ Getty Images Bank


기본 사항: 패치, VPN과 강력한 비밀번호

네트워크에 연결된 모든 원격 시스템이 최신 RDP 취약점을 포함하도록 패치됐는지 확인한다. 윈도우 7 워크스테이션도 포함해야 한다.윈도우7 ESU(Extended Security Update)를 수량에 관계없이 구입할 수 있다. 윈도우 7 워크스테이션을 다시 배치해 재택근무를 지원한다면, 반드시 패치를 해야한다.

다음으로, VPN과 결합된 RDP만 허용한다. 포트 3389를 웹에 직접 노출하면 안된다. 랜섬웨어 공격자는 위치의 발신 전송을 ‘스니핑(Sniff, 가로채기해킹)’하고 TS그라인더(TSgrinder)와 같은 도구를 사용해 RDP 위치의 자격 증명을 무력화한다. 기업의 인바운드 방화벽 규칙에 ‘통제 하에 특정 정적 IP로 엑세스를 제한’하는 설정이 없다면 아웃바운드 포트 3389 연결을 허용하면 안된다.
 
강력한 비밀번호 정책을 시행한다. 직원이 비밀번호를 재사용하지 않도록 한다. 공격자에게 비밀번호를 노출했던 위반사항들을 상기시킨다. RDP 연결 컴퓨터에 비밀번호를 저장하면 안된다.

원격 데스크톱에 2FA(two-factor authentication, 이중 인증)를 추가하는 것이 좋다. 많은 공급업체가 견고한 2FA 옵션을 제공하며, 일부는 현재 무료로 평가판 연장이 가능하다.  


RDS 서버에 네트워크 레벨 인증 사용

블루킵(Bluekeep) 취약점 공격을 완화하기 위한 최근 조언에 따르면, RDP는 절대 공개적으로 노출되면 안된다. 지금 당장은 이를 따르기 어려운 회사도 있다. NLA(Network Level Authentication, 네트워크 레벨 인증)은 사용자가 원격 시스템에 연결하기 전에 인증을 해야 하므로, RDP 기반 악성코드의 성공 확률이 현저히 감소한다.

윈도우 10은 기본적으로 NLA를 활성화하지만, 이전 플랫폼은 그렇지 않을 수 있다. 그룹 정책을 사용해 호스트 플랫폼과 RDS(Remote Desktop Services)에서 NLA를 설정한다. 그룹 정책에서 다음과 같은 순서대로 선택한다.

1. 컴퓨터
2. 정책
3. 윈도우 구성요소
4. 원격 데스크톱 서비스(Remote Desktop Services, RDS)
5. 원격 데스크톱 세션 호스트(Remote Desktop Session Host, RDSH)
6. 보안

원격 데스크톱 세션 호스트 역할을 하는 서버에서 “네트워크 레벨 인증 사용해 원격 연결에 대한 사용자 인증 요구”를 활성화한다.
 
ⓒ Susan Bradley


사용자 종료 기능 비활성화

새로운 사용자는 RDP 서버에 로그인할 때, 원격 컴퓨터에서의 자신의 작업이 이 환경의 모든 사용자에게 영향을 미친다는 사실을 인식하지 못한다. 따라서 다음 단계에 따라 사용자가 시스템을 종료할 수 있는 기능을 비활성화하는 것이 중요하다.

1. RDP 서버 호스트 시스템에서 ‘시작’을 클릭한다.
2. ‘실행’을 클릭한다.
3. gpedit.msc을 입력한다.
4. ‘사용자 구성 > 관리 템플릿’으로 이동한다.
5. ‘시작 메뉴와 작업 표시줄’로 이동한다.
6. ‘종료, 재시작, 절전, 최대절전모드 명령에 대한 엑세스 제거 및 차단’을 클릭한다.
7. 설정을 활성화한다.
 
ⓒ Susan Bradley

관리자 역할을 하는 일부 사용자에게 재부팅을 허용하려면 다음 단계를 수행한다.
 
1. 관리 권한으로 로그인한다.
2. ‘시작’을 클릭한다.
3. ‘실행’을 클릭한다.
4. 보안 정책 편집기를 시작하려면 secpol.msc를 입력한다.
5. ‘로컬 정책’으로 이동한다.
6. ‘사용자 권한 할당’으로 이동한다.
7. ‘시스템 종료’로 이동한다.
8. ‘속성’을 마우스 오른쪽 버튼으로 클릭한다.
9. 사용자를 제거한 후 시스템을 재부팅할 수 있는 관리자 또는 관리자 그룹을 추가한다.
 
ⓒ Susan Bradley


성능 조정

RDP를 배포할 때 사용자 환경이 만족스럽지 않으면, 사용자는 병목 현상을 해결할 방법을 찾는데 이 중에는 개인 이메일 계정으로 파일을 메일로 보내는 것과 같은 보안 위험이 포함돼 있다. 그룹 정책에서 다음의 절차에 따라 성능 설정을 상세 조정한다.  

1. ‘컴퓨터 구성’으로 이동한다.
2. ‘관리 템플릿’으로 이동한다.
3. ‘윈도우 구성요소’로 이동한다.
4. ‘원격 데스크톱 서비스’로 이동한다.
5. ‘원격 데스크톱 세션 호스트’로 이동한다.
6. ‘원격 세션 환경’으로 이동한다.

다음의 설정을 조정할 수도 있다.
 
  • 최대 색 농도 제한 = 15bit
  • 원격 데스크톱 배경화면 강제 제거 = true
  • RemoteFx 사용 시 시각적 경험 최적화 = (화면캡처속도: 최저 + 이미지 품질: 최저)
  • RDP 데이터에 대한 압축 알고리즘 설정 = 네트워크 대역폭 사용을 줄이도록 최적화
  • 원격 데스크톱 서비스 세션에 대한 시각적 경험 최적화 = (시각적 경험 = 텍스트)
  • RemoteFx Adaptive Graphicsd에 대한 이미지 품질 구성 = 중간
  • RemoteFx Adaptive Graphics 구성 = 최소 대역폭 사용에 최적화
 
ⓒ Susan Bradley

‘장치 및 리소스 리디렉션’에서 클립보드 리디렉션, 드라이브 리디렉션, LPT 포트 리디렉션 또는 회사에 적합한 기타 설정을 제한할 수 있다. ‘프린터 리디렉션’에서 사용자가 프린터를 자신의 로컬 컴퓨터로 리디렉션하도록 허용할 수 있다. USB 연결을 통해 프린터를 연결해도 원격 인쇄 사용에 큰 문제를 찾지 못했다.


SSL/TLS 설정

서버에서 SSL과 TLS을 구성할 때, RDP 서버의 설정에 주의해야 한다. 이런 SSL 설정을 잘못하면 사용자가 잠길 수 있다. 특히 윈도우 7 시스템이나 서버 2008에서 TLS 1.0을 사용하지 않도록 설정한 경우, RDP 클라이언트를 RDP 8.1로 업데이트해야 한다.

서버 2008 R2의 경우, RDP용 TLS 1.1 또는 1.2를 지원하는 패치가 필요하다. 더 높은 TLS 설정을 지원하려면 KB3080079 를 설치한다. 레지스트리 키를 통해 SSL 1.0, 2.0, 3.0, TLS 1.0을 비활성화하고 이번 기사에서 언급한 서버와 클라이언트 설정 모두에 대한 TLS 1.1과 1.2를 명시적으로 사용하도록 설정하는 그룹 정책 개체를 설정한다.

IISCrypto를 사용해 TLS 설정을 설정하고 검토할 수 있다. RD게이트웨이(RDgateway)를 사용하는 경우, 외부에서 SSL 테스트를 통해 SSL 설정을 검토한다. KB245030를 검토해 조직에서 사용중인 암호화를 제한한다.


가상 데스크톱 배포

마이크로소프트는 윈도우 버추얼 데스크톱(Windows Virtual Desktop, WVD)이라는 새로운 제품을 제공한다. 기업들은 재택 근무 의무화의 결과로 WVD로의 이동을 가속화하고 있다. editor@itworld.co.kr


X