禁用远程桌面访问是 100% 安全的。
有没有一种万无一失的方法,可以专门启用从指定笔记本电脑到 LAN 内工作站的远程桌面访问?我知道实现绝对安全具有挑战性,但我的目标是建立一个仅允许从此特定设备进行访问的配置,同时尽可能优先考虑安全性。
我的目标是达到一种安全级别,即使在 LAN 上存在另一个连接,并且使用专用笔记本电脑的相同 IP 和 MAC 地址 + 正确的用户名和密码,也可以阻止远程桌面访问。
也许使用预装的自签名证书方法进行身份验证?
- 我只有一个局域网,里面有 2 个工作站、3 个笔记本电脑和一些移动设备。没有 AD 等。我希望工作站 1 只接受来自笔记本电脑 1 的 RDP 连接(不考虑其 IP 和 MAC 地址),甚至在询问用户名和密码之前就拒绝所有其他连接。
--
我找到了该链接(不确定它是否与我的情况相关):
仅从 jumphost/PAW 设置 RDP 到 DC - 使用 IPSec
它“重点关注从 jumphost/PAW(特权访问工作站)到 DC(域控制器)的安全 RDP(远程桌面协议)访问的配置,使得 jumphost/PAW 是 DC 接受传入 RDP 连接的唯一计算机。”
答案1
远程桌面本身没有内置的机制,最好的安全性是通过外部手段实现(即不涉及 RDP 身份验证过程 - 不仅仅是因为它之前存在安全问题)。
IPsec 数据包加密是最接近 Windows 原生解决方案的解决方案;您可以通过wf.msc(在允许您配置基于 IP 的基本防火墙规则的同一控制台中,我认为这不符合您的标准)进行配置。
IPsec 支持证书身份验证,但在 Windows 上,自签名证书无法实现这一点 - 您需要创建自己的 CA,然后使用该 CA 签署机器证书,例如使用“xca”或 OpenVPN 的“Easy-RSA”工具。可以使用您的笔记本电脑可能具有的 TPM 保护客户端机器证书免遭提取。
(请注意,你不需要设置 IPsecVPN– 既不是 IKEv2 VPN 也不是 L2TP/IPsec VPN – 您正在寻求设置主机到主机的“传输模式”保护。)
另一种选择是第三方点对点 VPN(WireGuard、OpenVPN 等)结合基于 IP 的规则来限制仅与虚拟 VPN 接口的连接(Windows 防火墙“公共/私有”配置文件可能会使这变得容易)。
OpenVPN 使用 CA 颁发的证书,并附带创建证书的工具。WireGuard 不使用 X.509 证书(因此无法利用 Windows 内置的 TPM 支持),但它使用 EdDSA 密钥对,方式与 SSH 密钥或自签名证书类似,在 Windows 上尝试以防止除 WireGuard GUI 之外的任何东西读取存储的配置。