MDM*_*rra 3 security windows-server-2003 windows-server-2008 rdp
背景:目前,我们通过 IP KVM 管理我们的服务器,但我们正在缓慢迁移到 VMWare ESXi。KVM 界面笨拙,用户管理有点麻烦,如果可能的话,我想让人们远离 VIC 控制台。我们的网络不允许 RDP,因为所有流量都必须通过 VIC 或 KVM,它们具有来自内部 CA 的证书。
问题:我正在使用这种转换来推动 RDP 用于服务器的内部管理。我想为 RDP 辩护,但安全性(即使这些服务器不是面向 Internet 的)仍然是一个问题。我看过 TS Gateway,但它似乎是用于 Internet 到远程服务器,而不是从内部客户端到内部服务器。我知道这非常广泛,请随时要求澄清,但在内部服务器上安全实施 RDP 的最佳方法是什么。
与任何技术一样 - 限制您的表面积。 不要让普通的 jane RDP 向世界开放。需要 VPN 或来自受信任供应商(web-ssl 网关等)的某种其他类型的直通身份验证。
对于内部使用——标准密码管理策略应该到位并配置锁定。将 RDP 配置为使用最高级别的安全性(强制 RDP 通过 GPO 使用 128 位加密)。RDP至少与 VIC 或大多数 KVM 一样安全。每天有数百万人使用 Citrix 或终端服务。VIC 和 KVM 根本没有这么多已安装的设备,也没有人试图利用它们。 考虑到两种没有已知漏洞的相互竞争的成熟技术,我认为安装基础有很多数量级的技术比安装基础有限的技术更安全,后者通常笼罩在具有专有单一供应商工具的专用网络中。
对于外部客户端,如果您需要该级别的安全性,我会考虑使用具有客户端证书身份验证的 3rd 方安全 SSLVPN 网关。
如果您真的不信任 RDP,但确实信任,比如说 SSH……有一个名为WiSSH的商业 RDP over SSH 应用程序,它可以实现两因素身份验证以及两个独立的安全层。
自 2000 年以来,RDP 一直是 Windows XP Professional 和 Windows Server 安装的一个选项。它是 Windows Server的远程访问管理工具,在过去 9 年中很少出现漏洞。甚至WindowsSecurity.com的建议列表在其复杂性方面也是平庸的,并且反映了任何其他管理系统的最佳实践。
| 归档时间: |
|
| 查看次数: |
1221 次 |
| 最近记录: |