我们需要为客户端使用 RDP,但 VPN 和互联网连接太不稳定,无法再使用 VPN。VPN 是不是对我们来说不再是一个选择。
目前的计划是在防火墙上打开一堆端口(不是 3389),并在内部将它们引导到 3389 端口。当阻止访问的只是具有正确密码的单个 RDP 连接时,就会出现安全问题。
我们可以在防火墙上设置规则以防止仅访问某些 IP 地址,但这对于动态 IP 来说成为一个问题。
什么是次优安全 VPN 选项?
答案1
使用rdp证书认证。
@Scott Chamberlain 描述了这一点https://superuser.com/a/750943/440206:
是的,但你需要安装并配置远程桌面会话主机才能使用远程桌面网关 去做吧。
一旦您使用远程桌面网关,您就可以设置远程桌面连接授权策略(RD CAP)和桌面资源授权策略(RD RAP),您可以在其中设置诸如要求连接机器具有客户端证书(每台机器或每个用户)之类的内容。
答案2
您可以研究DirectAccess网络安全访问:
DirectAccess 允许远程用户安全地访问内部网络文件共享、网站和应用程序,而无需连接到虚拟专用网络 (VPN)。内部网络也称为专用网络或内部网。每次启用 DirectAccess 的计算机连接到 Internet 时,DirectAccess 都会与内部网络建立双向连接,甚至在用户登录之前也是如此。用户永远不必考虑连接到内部网络,IT 管理员可以管理办公室外的远程计算机,即使计算机未连接到 VPN。