我们有一台运行终端服务器的 Windows Server 2008 Standard 机箱,我们团队成员通过路由器 (Linksys RV042) 中的防火墙规则从网络外位置连接到该服务器。出于安全原因,我们已将默认 TS 端口更改为未使用的高级端口号。
我们想增加一个额外的安全层,即与终端服务器无关、与用户登录凭据无关的用户名/密码质询。我不确定这是否可行。
我在这里想要做的是通过 wordpress 安装的 wp-admin 目录中的 htaccess 文件添加 Apache 密码挑战,该文件有自己的登录名。因此,第一个身份验证机制是通过不运行第二个身份验证机制的服务。
有什么想法我们可以怎样做?
答案1
您的防火墙是否支持基于服务、规则或应用程序 (RDP) 对用户进行身份验证?
另外,更改服务器上的 RDP 端口如何使其更安全?任何扫描您的网络范围以查找侦听端口的人都会找到新端口,而不是默认端口。
答案2
您考虑过 Server 2008 终端服务网关吗?它既能改善用于保护连接的加密,又能让您更好地控制 RDP。
http://technet.microsoft.com/en-us/library/cc731264%28WS.10%29.aspx
答案3
您可以让终端服务器在其自己的域中成为自己的域控制器。让主域信任 TS 域。让 TS 用户针对 TS 域进行身份验证。将 TS 域用户添加到所需的任何安全组。这样,如果您的 TS 受到威胁,您的主域管理员就不会受到威胁,至少不会受到威胁。
VPN 也是您可能想要添加的额外安全层。
答案4
你能做的最好的事情就是在每台服务器上启用网络级别身份验证 (NLA),这将要求用户在连接之前输入用户名/密码,然后可以通过 GPO 配置。
为了达到您想要的效果,可能有一种方法可以操纵特定用户登录后由 Active Directory 提供给他们的 Kerberos 票证的到期时间。如果没有,您可以创建一个单独的/特殊的用户帐户,该帐户的密码会定期通过某个脚本更改;然后,您可以要求用户“登录”到某个小型 Web 应用程序,该应用程序会在需要时为他们提供最新的密码。