我有一台台式机和一台笔记本电脑,都运行 Windows 7 Professional。我的目标是保护台式机,以便我可以安全地通过互联网从笔记本电脑使用“远程桌面”。
我已经完成以下操作来保护桌面安全:
- 主机上需要加密(按照此文章)
- 通过我的路由器将远程桌面端口转发到一个随机的模糊端口号。
- 为主机上的我的帐户设置一个复杂的密码。
这些都不允许仅从我的笔记本电脑进行连接。
我还能做些什么来增强安全性?
答案1
答案2
在路由器上,您可能可以通过笔记本电脑网卡的 mac 地址来限制传输。这取决于路由器:这里有示例:http://www.wikihow.com/Create-Machine-Address-Filter-List-on-a-Home-Router. 检查您的路由器文档。
答案3
虽然一种选择是使用 ipsec,但要设置它以在任何网络上可靠地运行可能是一个 PITA - 隧道协议更加强大。
如果是我,我会放弃内置加密/随机模糊端口号/复杂密码,并使用带有客户端证书验证的 stunnel 路由连接(并使用更简单的密码)。这样,您就可以将访问限制在持有正确客户端证书(或由正确 CA 签名的证书)的设备上。
对于仅有一个远程用户来说,运行自己的证书颁发机构可能有点过分——一些 CA 以相对便宜的价格提供用于电子邮件的签名证书(与用于网络服务器/VPN 的证书相比)。事实上,Thawte 过去免费提供这些证书,而 Entrust 目前每年收费 20 美元。但创建自己的 CA 并不难(尽管我从未尝试在 MSWindows 上设置 CA)。
然后防火墙直接访问桌面上的 RDP 帖子,并仅允许来自运行服务器端 stunnel 的 ip 地址的连接。
我以前曾为经常出差的人使用过这样的 VNC、邮件和 telnet 设置(是的,我知道 - 说来话长)。RDP 可以在这种设置下工作。