me2*_*011 16 security remote-desktop
我正在考虑需要公开我的远程桌面服务器(终端服务)以供从我们的网络外部访问。目前,它只能从我们的网络内部访问。
我知道打开防火墙并转发端口很容易。
但是,我如何保护机器本身以及围绕此问题的最佳实践是什么?我担心的是黑客能够入侵它。
任何最佳实践指南/建议将不胜感激。
编辑:
关于我发现的产品的问题:
按 IP、MAC 地址、计算机名称等过滤传入的 RDP 连接
任何人都可以评论这个的安全性吗?看起来我也可以用它来限制机器名称/mac的访问?还有人用过吗?
Don*_*Don 14
这可能比您想要做的更多,但这里是我们如何将 RDP 用于不使用 VPN 的远程用户。
我们最近开始将 RD 网关管理器与远程桌面服务一起使用,这是 Windows 2008 中的一个角色。我们将它设置为通过我们的 TMG 服务器并直接到达用户计算机。如上所述,它使用 NLA。连接的用户必须是正确 AD 组的成员,并且是允许访问的正确本地组的成员。根据您想要的设置方式,您可以通过一个网页进行连接,该网页基本上会打开 mstsc 并输入 RD 网关的代理设置,或者您可以在您的机器上手动设置设置,以便每次打开它时都会尝试去通过那个代理。到目前为止,它运行良好,似乎很安全。
我强烈建议使用远程桌面网关服务。它为您提供了一个地方,您可以在其中执行有关谁可以从哪里连接到什么的政策。它为您提供了一个记录日志的好地方,因此您可以在不检查服务器场中各个服务器的事件日志的情况下查看谁在尝试登录。
如果您还没有这样做,请确保您的帐户锁定策略设置得非常强大。RDP 甚至使用 NLA 和网关也可以让人们尝试暴力破解密码。强大的锁定策略极大地使蛮力尝试很难成功。
在系统上设置有效的 SSL 证书,这样如果有人试图执行某种 MITM 攻击,客户端就会通知最终用户。