Повышение безопасности для компьютера с удаленным рабочим столом - использовать 2FA и / или ограничить только подключение к локальной сети?

7

Я смотрю на настройку удаленного рабочего стола Windows на компьютере W10 Pro.

Я хотел бы повысить безопасность соединения и задаться вопросом, возможно ли одно из следующего:

  • Пароль, отличный от имени пользователя, используемого для входа при физическом использовании машины. Таким образом, он может использовать случайную сгенерированную строку, которую я мог бы ввести один раз с компьютера с исходящим звонком.

  • Двухфакторная аутентификация.

  • Ограничьте все входящие подключения к машинам только в одной локальной сети.

Там будет 3 компьютера, которые будут подключаться к хосту, в основном Mac.

Возможно ли / все это, и есть ли другие вещи, на которые я должен обратить внимание?

windows security remote-desktop two-factor-authentication sam
источник
Вы просто подключаетесь к этому через локальную локальную сеть или через общедоступный Интернет?
Twisty Impersonator
@TwistyImpersonator это будет через локальную сеть, хотя в VPN будет установлено соединение
sam
Сколько компьютеров требует удаленного доступа к этому хосту? Меняются ли IP-адреса подключающегося компьютера?
Twisty Impersonator
@TwistyImpersonator это будет 3 компьютера, которые будут подключаться к хосту, я мог бы дать входящим 3 компьютерам Mac привязки IP к маршрутизатору, чтобы они не изменились, вы думаете по всей линии IP-аутентификации как дополнительный элемент безопасности?
sam
1
IPSec может использовать сертификаты, которые проверяют подлинность компьютеров. Даже если злоумышленник подключается с правильного IP-адреса, без сертификата соединение не может быть установлено.
Twisty Impersonator

Ответы:

4

Статья Защита удаленного рабочего стола (RDP) для системных администраторов перечисляет эти советы:

  • Используйте надежные пароли
  • Обновите ваше программное обеспечение
  • Ограничить доступ с помощью брандмауэров
  • Включить аутентификацию на уровне сети (включено по умолчанию для Windows 10)
  • Ограничить пользователей, которые могут войти в систему с помощью удаленного рабочего стола (по умолчанию все администраторы)
  • Установить политику блокировки учетной записи (заблокировать учетную запись после ряда неправильных догадок)
  • Изменить порт прослушивания для удаленного рабочего стола (по умолчанию TCP 3389)
  • Не используйте другие продукты, такие как VNC или PCAnywhere

На ваш вопрос о двухфакторной аутентификации, Я не верю, что это существует в Windows 10 Pro, только на Windows Server.

Статья 5 лучших альтернатив Google Authenticator перечисляет шесть продуктов, которые имеют бесплатный план (но также и платные): Google Authenticator, Authy, Duo, HDE OTP, Authenticator Plus, аутентификация для входа в систему. Я никогда не использовал такие продукты, поэтому не знаю, насколько они полезны для вас.

harrymc
источник
Спасибо @harrymc, знаете ли вы, возможно ли установить пароль или ключ как часть первоначального входа в систему с удаленного рабочего стола, поэтому мы не будем ограничены запоминающимся безопасным паролем, который пользователи будут использовать для входа в систему, а скорее смогут использовать случайный символ из 60 символов строка в качестве предварительного общего ключа для дополнения пароля пользователя
sam
Windows 10 имеет новую технологию Виртуальные смарт-карты который фактически обеспечивает двухфакторную аутентификацию. Увидеть Начало работы с виртуальными смарт-картами: руководство по использованию , Я никогда не использовал его, поэтому не могу отвечать на вопросы.
harrymc
Виртуальные смарт-карты требуют TPM 1.2. У всех ваших компьютеров есть тот @sam?
PatrikN
1
@PatrikN я сомневаюсь, клиентские машины в основном macs
sam
К сожалению, это единственный бесплатный продукт, который я знаю. Коммерческие продукты могут быть найдены путем поиска в Google для двухфакторной аутентификации.
harrymc
3

Основываясь на текущей информации, мои рекомендации:

  • Создавая SSH туннель , вы получаете дополнительный уровень аутентификации, где вы можете использовать другой имя пользователя Пароль или же аутентификация с открытым ключом чтобы залогиниться. Вы можете также включить затемнение с совершенно другим пароль как ты и хотел. Таким образом, вам также будет сложнее следить за трафиком, чтобы даже видеть, что это SSH - и для подключения им обоим нужен этот пароль и любой логин SSH, который вы настроили. Добавьте к этому, что это туннельный RDP-трафик, который также зашифрован.

    На Windows машина, которую вы можете устанавливать Bitvise SSH сервер и на Macs , вы можете добавить поддержку запутывания на встроенный OpenSSH с некоторыми пути от ZingLau ,
  • 2fa может быть было бы возможно, но это не будет легко или бесплатно. вход со встроенной смарт-картой требует домен Windows Active Directory , но есть сторонние решения для автономных компьютеров. EIDAuthenticate служба поддержки RDP и доступен в свободно версия с открытым исходным кодом, но только для Домашние издания (пока они думают о «программе домашнего использования» так что контакт с ними может ускорить это мышление). Но в вашем случае этого может быть недостаточно, так как это только для Windows, и вы подключаетесь с Mac.
  • Ограничение входящих подключений к локальной сети, может быть легко сделано в Брандмауэр Windows ,
  • Общие вещи, как надежные пароли а также обновление все компьютеры должны быть сделаны, конечно. Я также рекомендую иметь отдельные учетные записи пользователей и администраторов , а также разрешить только (непривилегированным) учетным записям пользователей вход в систему через RDP , поэтому учетная запись администратора должна войти в систему локально.
  • Следующее, на что я бы посмотрел, было бы безопасность на клиентах что соединяет, потому что если они скомпрометированы , все остальные вещи, которые вы создали не сильно помогает , Но я говорю об общих принципах безопасности, поэтому не буду вдаваться в подробности.
PatrikN
источник
0

Этот сценарий возможен с WebADM от RCDevs, который является бесплатным до 40 пользователей.

  1. Пароль, отличный от имени пользователя, используемого для входа при физическом использовании машины.

Да, WebADM использует LDAP, ActiveDirectory ... Так что вы можете использовать другое имя пользователя / пароль.

  1. Двухфакторная аутентификация.

Да, вы можете использовать TOTP, HOTP с аппаратным / программным токеном, электронную почту и смс.

  1. Ограничьте все входящие подключения к машинам только в одной локальной сети.

Да, вы можете определить политику клиента.

  1. Там будет 3 компьютера, которые будут подключаться к хосту, в основном Mac.

Да, вы можете установить плагин Credential Provider для Windows или OSX с автономной аутентификацией.

William
источник