提高远程桌面机器的安全性 - 使用 2FA 和/或仅限于 LAN 连接?

提高远程桌面机器的安全性 - 使用 2FA 和/或仅限于 LAN 连接?

我正在考虑在 W10 Pro 机器上设置 Windows 远程桌面。

我想提高连接的安全性,并想知道以下是否可以做到:

  • 密码,不同于实际使用机器时登录时使用的用户名。这样它可以使用随机生成的字符串,我可以从拨出计算机输入一次。

  • 双因素身份验证。

  • 将所有传入连接限制为仅与同一 LAN 上的机器连接。

将会有 3 台计算机连接到主机,其中大部分是 Mac。

这些是否有可能实现?我还应该考虑其他一些事情吗?

答案1

文章 为系统管理员确保远程桌面 (RDP) 的安全 列出了这些提示:

  • 使用强密码
  • 更新软件
  • 使用防火墙限制访问
  • 启用网络级别身份验证(Windows 10 默认启用)
  • 限制可以使用远程桌面登录的用户(默认为所有管理员)
  • 设置账户锁定策略(猜错一定次数后锁定账户)
  • 更改远程桌面的监听端口(默认为 TCP 3389)
  • 不要使用其他产品,如 VNC 或 PCAnywhere

对于有关双因素身份验证的问题,我不认为它存在于 Windows 10 Pro 上,只存在于 Windows Server 上。

文章 Google Authenticator 的 5 种最佳替代方案 列出了六种有免费计划(但也有付费计划)的产品:Google Authenticator、Authy、Duo、HDE OTP、Authenticator Plus、Sound Login Authenticator。我从未使用过此类产品,所以不知道它们对你有多大用处。

答案2

根据目前的信息,我的建议是:

  • 通过设立SSH 隧道,您将获得额外的身份验证,您可以使用另一个用户名密码或者公钥认证登录。您可以使能够混淆,完全不同的密码,就像你想要的那样。这样一来,监控流量的人甚至更难看到它是 SSH - 并且要连接,他们都需要该密码以及您设置的任何 SSH 登录名。此外,它是隧道传输 RDP 流量,这也是加密的。

    视窗机器你可以安装 Bitvise SSH 服务器以及Mac电脑, 你可以添加混淆支持内置 OpenSSH 的一些ZingLau 的路径
  • 2FA可能是可能的,但并不容易,也不免费。内置智能卡登录需要Windows Active Directory 域,但也有针对独立计算机的第三方解决方案。EID认证支持远程桌面协议并且有自由的开源版本,但是仅适用于家庭版(然而,他们正在考虑“家庭使用计划”,因此联系他们可能会加快思考速度)。但对于您来说,这可能还不够,因为它仅适用于 Windows,而您是从 Mac 连接的。
  • 限制进入 LAN 的连接,可以轻松完成Windows 防火墙
  • 一般的事情,例如强密码更新当然,所有电脑都应该安装。我还建议单独的用户和管理员帐户, 和仅允许(非特权)用户帐户通过 RDP 登录,所以管理员账户要本地登录。
  • 接下来我要看的是客户端安全因为如果他们受到威胁以及您设置的所有其他内容没有多大帮助。但我谈论的是一般的安全原则,所以我不会详细阐述这一点。

答案3

这种情况可以通过 RCDevs 的 WebADM 实现,并且最多可免费供 40 位用户使用。

  1. 密码,与实际使用机器时登录的用户名不同。

是的,WebADM 使用 LDAP、ActiveDirectory...所以您可以使用不同的用户名/密码。

  1. 双重身份验证。

是的,您可以使用 TOTP、HOTP 与硬件/软件令牌、电子邮件和短信。

  1. 将所有传入连接限制为仅与同一 LAN 上的机器连接。

是的,您可以定义客户端策略。

  1. 将会有 3 台计算机连接到主机,其中大部分是 Mac。

是的,您可以安装具有离线身份验证的 Windows 或 OSX 版 Credential Provider Plugin。

相关内容