背景:目前,我们通过 IP KVM 管理服务器,但我们慢慢地迁移到 VMWare ESXi。KVM 界面笨重,用户管理有点麻烦,如果可能的话,我想让人们远离 VIC 控制台。我们的网络不允许使用 RDP,因为所有流量都必须通过 VIC 或 KVM,它们具有来自内部 CA 的证书。
问题:我正在利用这一转变推动 RDP 用于服务器的内部管理。我想为 RDP 辩护,但安全性(即使这些服务器不面向互联网)仍然是一个问题。我查看了 TS 网关,但它似乎适用于从互联网到远程服务器,而不是从内部客户端到内部服务器。我知道这很宽泛,请随时询问澄清,但在内部服务器上安全地实施 RDP 的最佳方法是什么。
答案1
与任何技术一样——限制其表面积。 不要将普通的 RDP 开放给世界。需要 VPN,或来自受信任供应商(web-ssl 网关等)的某种其他类型的直通身份验证。
供内部使用 - 应制定标准密码管理策略并配置锁定。配置 RDP 以使用最高级别的安全性(通过 GPO 强制 RDP 使用 128 位加密)。RDP 是至少与 VIC 或大多数 KVM 一样安全。每天有数百万人使用 Citrix 或终端服务。VIC 和 KVM 根本没有这么多的安装设备,也没有这么多的人试图利用它们。 鉴于两种相互竞争的成熟技术尚未被人发现存在漏洞,我认为,安装基础数量级较大的系统比安装基础有限的系统更安全,因为后者通常隐藏在私有网络内,使用专有的单一供应商工具。
对于外部客户端,如果您想要这种级别的安全性,我会考虑使用具有客户端证书认证的第三方安全 SSLVPN 网关。
如果你真的不信任 RDP,但信任 SSH,那么有一个商业的 RDP over SSH 应用程序叫做无线网络可以实现双因素身份验证以及两个独立的安全层。
自 2000 年以来,RDP 一直是 Windows XP Professional 和 Windows Server 的每个安装选项。这Windows 服务器的远程访问管理工具,过去 9 年中几乎没有出现漏洞。即使WindowsSecurity.com的建议清单虽然复杂,但却反映了任何其他管理系统的最佳实践。
答案2
大部分内容已经提到过了,但我想澄清一些事情。自 Windows 2003 的至少一个服务包以来,NLA 一直支持(以不同的名称)用于 RDP。在“高安全性”配置中运行 RDP 加上通过 TLS 运行 RDP 可以说与大多数可用于 Windows 的替代远程管理解决方案一样安全。多年来,我一直通过 TLS 保护我的 RDP 会话,而 XP 客户端也绝对支持通过 TLS 连接到 RDP 多年。
我还使用 TS-Gateway 来进一步保护办公网络和内部服务器网络之间的访问。它通常需要两个网络之间的防火墙/路由规则,但如果您希望进一步保护您的环境以添加额外的身份验证要求和隧道入口点,TS-Gateway 仍然非常有用。但与 RDP over TLS 不同,从客户端角度来看,TS-Gateway 支持非常有限。
答案3
就使用 RDP 本身而言,您几乎受到客户端和服务器支持的限制,并且只有几个版本。Win2008、Windows 7、Vista(现在显然还有 XP SP3)http://technet.microsoft.com/en-us/library/cc732713.aspx,网络级身份验证提高了 RDP 的安全性,但就协议本身的安全而言,唯一的选择是在客户端和服务器上都要求使用 NLA。
除了 RDP 本身,您还可以使用网络架构来限制对服务器的访问。将服务器放在自己的子网中,将管理员 PC 放在另一个子网中,将普通用户放在另一个子网中。仅允许管理员子网通过防火墙/路由器上的 RDP 访问服务器子网,并允许普通用户子网仅在所需端口(或除 RDP 之外的所有端口)上访问服务器子网。无论如何,将服务器放在单独的子网中都是一个好主意,以限制客户端和服务器之间的广播串扰。