cod*_*ike 7 security windows-server-2008 remote-desktop
如果我在互联网上有一台允许远程桌面连接的服务器(Windows Server 2008),有什么可以阻止随机人尝试暴力用户名/密码组合吗?
例如,它会在一定次数的失败后锁定用户或 IP 地址吗?
(根据评论编辑):
如前所述,RDP 通常不应直接暴露在公共 Internet 上。可以通过多种方式限制这种暴露,通过简单地阻止端口 3389 访问(通过 VPN 除外),到使用 RD 网关来获得更高级的解决方案。如果您有支持它的 IPS 或 IDS+防火墙,您可以使用它们来阻止重复登录失败的主机。
对于内部暴力保护,您可以在本地安全策略中设置锁定策略。有帐户锁定持续时间、帐户锁定阈值以及重置锁定前等待多长时间的设置。
您可以使用 secpol.msc 修改这些设置:secpol.msc -> 安全设置 -> 帐户策略 -> 帐户锁定策略。
不要向 Internet 开放端口 3389。使用远程桌面服务网关(RD 网关)并将自己包裹在通过 HTTPS 受 SSL 保护的 RDP 的温暖模糊毯子中!
(它在 Server 2008 非 R2 上可能仍称为 TS 网关;不记得了。)
您可以将 RDS 角色添加到 Windows Server 2008 R2。RD网关是RDS的角色服务。
这使您能够使用常规 RDP 客户端(版本 7+)通过 SSL 保护的端口 443 而不是传统的端口 3389“RDP”到 RD 网关。通过该网关,您可以无缝地 RDP 到内部位于网关另一侧的主机。您可以使用 RD CAP 和 RD RAP 来准确控制谁可以连接到什么。您将 PKI 证书用于 SSL 目的。
这比常规 RDP 安全得多。此外,它不太容易受到最近攻击常规 RDP 的某些漏洞的影响,例如 MS012-020。
您可以在此处找到非常详尽的教程:
| 归档时间: |
|
| 查看次数: |
9276 次 |
| 最近记录: |