Я смотрю на необходимость предоставления доступа к моему серверу удаленных рабочих столов (службам терминалов) для доступа извне нашей сети. Прямо сейчас к нему можно получить доступ только из нашей сети.
Я знаю, что достаточно легко открыть брандмауэр и перенести порт.
Тем не менее, как мне обезопасить саму машину и каковы лучшие практики в этом отношении? Меня беспокоит возможность хакеров взломать его.
Любые рекомендации / рекомендации по передовой практике будут высоко оценены.
Редактировать:
Вопрос о продукте, который я нашел:
Фильтруйте входящие RDP-соединения по IP, MAC-адресу, имени компьютера и т. Д.
Кто-нибудь может прокомментировать безопасность этого? Похоже, я мог бы также использовать его для ограничения доступа по имени машины / Mac? Кто-нибудь еще использовал это?
источник
Ответы:
Это может быть больше, чем вы ожидаете, но вот как мы используем RDP для удаленных пользователей, которые не используют VPN.
Недавно мы начали использовать RD Gateway Manager со службами удаленных рабочих столов, роль в Windows 2008. Мы настроили его для прохождения через наш сервер TMG и непосредственно на компьютер пользователя. Он использует NLA, как указано выше. Пользователь, подключающийся, должен быть членом правильной группы AD и членом правильной локальной группы, чтобы иметь доступ. В зависимости от того, как вы хотите его настроить, вы можете подключиться через веб-страницу, которая в основном открывает mstsc и вводит настройки прокси-сервера для шлюза удаленных рабочих столов, или вы можете установить настройки на своем компьютере вручную, чтобы каждый раз, когда вы открываете его, он пытался перейти через этот прокси. До сих пор это работало довольно хорошо и, кажется, безопасно.
источник
Как показывает недавняя история , существует риск, связанный с разоблачением протокола. Но есть несколько шагов, которые вы можете предпринять для защиты системы:
Administrator
учетная запись домена по умолчанию или, в идеале, любых других учетных записей с высокими привилегиями.источник
Я настоятельно рекомендую использовать службу шлюза удаленного рабочего стола. Это дает вам место, где вы можете применять политики о том, кто может подключиться к чему и откуда. Это дает вам хорошее место для регистрации, так что вы можете видеть, кто пытается войти, не просматривая журналы событий отдельных серверов в вашей ферме.
Если вы этого еще не сделали, убедитесь, что политики блокировки учетной записи установлены достаточно строго. RDP даже с NLA и шлюзом дает людям что-то, чтобы попытаться перебор паролей. Сильная политика локаутов сильно затрудняет попытки грубой силы преуспеть.
Установите действительные сертификаты SSL в системах, чтобы клиент уведомлял конечных пользователей, если кто-то пытается выполнить какую-либо атаку MITM.
источник
Это не очень безопасно, однако есть несколько способов укрепить безопасность.
Запретить доступ в Интернет с этого сервера. Многие из более серьезных вредоносных программ пытаются связаться со своим сервером управления и контроля, когда это ставит под угрозу вашу систему. Конфигурирование правила доступа брандмауэра для запрета исходящего доступа по умолчанию и правила разрешения исходящего доступа только во внутренние / известные сети и подсети RFC 1928 могут снизить риск.
Используйте смарт-карты или другой тип двухфакторной аутентификации. Это обычно дорого и встречается преимущественно в крупных организациях, однако варианты улучшаются (на ум приходит PhoneFactor). Обратите внимание, что использование смарт-карт может быть выполнено для каждого сервера в качестве опции для настройки на уровне учетной записи.
Настройте сеть периметра, поместите сервер удаленного рабочего стола в периметр и используйте недорогой VPN для предоставления доступа. Примером будет Хамачи. Обратите внимание, что запрещение доступа в Интернет из сети периметра также является хорошей практикой.
Если возможно, не предоставляйте полный рабочий стол, а публикуйте нужные приложения. Если кому-то нужен доступ только к одному приложению, также можно настроить «начальную программу», которая может быть простой оболочкой-оболочкой, которая может принудительно завершить сеанс при закрытии приложения.
источник
Я бы предложил следующие меры:
Необязательный
источник
Вы можете запустить WinSSHD на порту 22, а затем использовать клиент Tunnelier, чтобы создать для вас туннель, и автоматически открыть сеанс служб терминалов через туннель одним нажатием. Это также дает вам очень хороший безопасный вариант FTP, а также для передачи файлов.
источник
Я использую переадресацию портов ssh для этих целей и разрешаю только аутентификацию на уровне пользователя на основе открытого ключа. Все личные ключи пользователей также должны быть зашифрованы. В Windows Putty делает это хорошо, и Pageant позволяет пользователям легко загружать свои ключи. Если вы не используете какие-либо серверы Linux / BSD с ssh по умолчанию, вы можете использовать OpenSSH в Cygwin для этого.
Я рекомендую выделенный удаленный сервер оболочки с локальным брандмауэром, который блокирует то, на что вы не хотите, чтобы люди подключались, поскольку переадресация портов в SSH в основном открывает любой внутренний сервер / порт для пользователей, которых вы хотите.
источник
Bitvise SSH - это хороший бесплатный SSH для Windows.
Я бы выбрал дешевое SSL VPN-завершение от клиента к периметру интернет-шлюза для чего-то большего, чем случайное использование (например, Commercial In-Confidence).
Приведенные выше сообщения о защите RDP также являются хорошей практикой, и их всегда следует делать, если вы не хотите делиться своими компьютерами со свободными загрузчиками.
источник
не совсем лучшая практика, но некоторые случайные мысли:
источник