我正在研究为我工作的地方的某些应用程序提供远程访问。
我们计划在 Server 2003 上使用终端服务,在了解之后,我们发现它似乎对通过 RDP 的所有流量进行了加密。
尽管 RDP 流量是加密的,但许多人建议它只通过 VPN 运行。
由于我对 TS 还不太熟悉,我想知道为什么人们推荐这两种级别的安全性,以及为什么在互联网上仅使用裸 TS 是不明智的。
答案1
有几个供应商坚持要能够通过 RDP 连接到他们管理的服务器。由于其中一个是我们的主要财务系统,这让我非常不舒服,但别无他法 - 我们需要为他们提供远程桌面,否则他们不会对服务器做任何事情。
我们达成的妥协是,我按要求为他们提供 RDP,但提前几分钟通知他们;他们打电话给我们,我们运行一个脚本来打开相关的防火墙端口,他们做任何需要做的事情然后再次打电话给我们,我们运行另一个脚本来关闭端口。
因此,是的,仅使用 RDP 就可以做到这一点,但是如果您这样做,我建议:
1)仅在需要时提供服务,而不是全天候提供服务。
2)锁定允许连接的地址范围(尽可能)。
3)将管理员帐户重命名为“管理员”以外的其他名称,并为其设置强密码。
答案2
正如您所说,它已经加密了,我看到的唯一问题是,如果不进行注册表更改,移动它运行的端口会很麻烦。有人批评通过隐蔽性来实现安全性,但它确实有助于阻止一些探测和脚本。99% 的时间直接在 webbertube 上运行它应该没问题。
VPN 确实具有不会在防火墙规则中留下漏洞的优势。它会增加一些开销,因为您要处理链接上的加密以及 VPN 的加密,但不会太多。您还需要在所链接的任何端点上使用 VPN 客户端,这取决于您的客户端,这可能会有点麻烦,而使用 RDP 只需要一个通用的 RDP 客户端。
在大多数情况下,我认为这取决于您是愿意在防火墙上打开一个端口还是愿意为此支持 VPN 连接和/或客户端,以及这会给您的用户带来多大的麻烦(如果您使用的是在笔记本电脑或家庭系统上需要它的漫游用户,从而支持软件 VPN 客户端和培训)。
答案3
即使您信任 RDP 加密(是否已由外部专家验证?),不使用 VPN 也意味着您拥有一个重要的 Windows 服务器,其端口向网络开放。任何新的远程漏洞(每个月都会出现几个新漏洞)都会让您处于危险之中。
使用 VPN 意味着唯一开放的端口是经过大量独立专家全面检查安全性的端口,因此远程攻击极其罕见。即使有攻击到您,也可以相对轻松地将一个 VPN 换成另一个,而不会影响配置和最终可用性。
答案4
从经济角度来说,我当然会这么做,因为终端服务更容易受到攻击。防火墙上没有端口打开