我们正在开发一款在 Windows Server 2008 上运行的产品。该产品将安装到使用 Server 2008 的专用硬件(我们拥有或至少提供服务)上运行的客户环境中。我们将其视为“设备”,尽管它基本上是一组运行 Server 2008 的 X 高端机器。无论如何,我们需要在客户环境中远程管理这些服务器,并正在寻找最简单、最安全的管理方法。
VPN 是显而易见的解决方案,但由于每个客户都选择自己的 VPN,因此我们很难支持它(我们需要在这里设置许多不同的 VPN 软件才能进行远程访问)。另一种选择是让客户为 RDP 流量打开一个端口,这样我们就可以远程访问我们的服务器。但这当然是有风险的(即使我们选择非标准端口),客户 IT 人员真的不喜欢这样。
最近我在阅读有关 TS 网关(现在是 R2 中的 RD 网关)的信息。我想知道这是否是我们完美的解决方案。如果我们在客户站点的其中一台服务器上设置它,然后让他们直接向该服务器打开端口 443,这是否是一种安全的机制,让我们可以通过 RDP 连接到客户站点的所有服务器?看来他们的 IT 人员可能更容易接受这一点。
请注意,客户环境中的 2008 服务器未加入域,它们是一个简单的工作组。
有什么想法吗?我遗漏了什么吗?还有更好的解决方案吗?
答案1
因此,TS-Gateway 实际上不同于 RDP over TLS 和 RDP 协议安全性(这两者都已在本线程中提及)。它对协议流的保护类似,因为它使用 SSL 隧道传输流量以保护安全(1024、2048 您生成自己的证书并决定您想要的安全性)这个特定主题的关键区别在于您执行的内部<->外部转换次数以及内部网络的暴露程度。TS-Gateway 并不是一种更好的保护流量的方法,而是为了满足许多人的需求,即确保它就像 SSH 桥或 SSL vpn 端点一样,您有一个简单的单点从外部连接到您的内部网络。TS-Gateway 旨在允许您建立与边界的安全连接,并从该点开始控制对内部网络资源的授权。TS-Gateway 能够对哪些人(一旦通过网关身份验证)可以连接到边界内的哪些系统进行精细控制。它旨在创建一个缓冲区,以防止使用 RDP 协议作为载体直接攻击您的内部系统。根据您的描述,TS-Gateway 服务旨在帮助满足这一特定需求。
答案2
我不确定 TS Gateway 的风险会比设置 RDP 低多少。事实上,由于它进入市场的时间不长,因此风险可能更大。
另一个选项是在服务器上设置 SSH,然后使用 SSL 隧道进行 RDP 会话。如果您使用 SSH 身份验证密钥,这将增加一层安全性。
您可以添加的另一层安全性是设置类似 RSA SecureID 的东西,但我不确定这是否会在您的设置中成本过高。