确保 Windows 7 上的远程桌面服务器安全以供互联网使用

确保 Windows 7 上的远程桌面服务器安全以供互联网使用

我有一台台式机和一台笔记本电脑,都运行 Windows 7 Professional。我的目标是保护台式机,以便我可以安全地通过互联网从笔记本电脑使用“远程桌面”。

我已经完成以下操作来保护桌面安全:

  1. 主机上需要加密(按照此文章
  2. 通过我的路由器将远程桌面端口转发到一个随机的模糊端口号。
  3. 为主机上的我的帐户设置一个复杂的密码。

这些都不允许仅从我的笔记本电脑进行连接。

我还能做些什么来增强安全性?

答案1

有几个选择...

  1. 如果您使用远程桌面网关,则可以配置远程桌面连接授权策略 (CAP),该策略要求计算机属于指定组。[编辑] 有关设置 RD CAP 的信息,请参阅这里
  2. 有一个名为安全RDP2X 出售的一款软件,可以满足您的需求。它现在也是免费软件。

答案2

在路由器上,您可能可以通过笔记本电脑网卡的 mac 地址来限制传输。这取决于路由器:这里有示例:http://www.wikihow.com/Create-Machine-Address-Filter-List-on-a-Home-Router. 检查您的路由器文档。

答案3

虽然一种选择是使用 ipsec,但要设置它以在任何网络上可靠地运行可能是一个 PITA - 隧道协议更加强大。

如果是我,我会放弃内置加密/随机模糊端口号/复杂密码,并使用带有客户端证书验证的 stunnel 路由连接(并使用更简单的密码)。这样,您就可以将访问限制在持有正确客户端证书(或由正确 CA 签名的证书)的设备上。

对于仅有一个远程用户来说,运行自己的证书颁发机构可能有点过分——一些 CA 以相对便宜的价格提供用于电子邮件的签名证书(与用于网络服务器/VPN 的证书相比)。事实上,Thawte 过去免费提供这些证书,而 Entrust 目前每年收费 20 美元。但创建自己的 CA 并不难(尽管我从未尝试在 MSWindows 上设置 CA)。

然后防火墙直接访问桌面上的 RDP 帖子,并仅允许来自运行服务器端 stunnel 的 ip 地址的连接。

我以前曾为经常出差的人使用过这样的 VNC、邮件和 telnet 设置(是的,我知道 - 说来话长)。RDP 可以在这种设置下工作。

答案4

我会添加一个双因素身份验证模块,这样攻击者就无法强行闯入(人类倾向于使用非常简单的密码)。

其中一个选择是Duo 安全,它可以将提示推送到智能手机(通过专有应用程序)或通过短信发送一次性密码。最多 10 个用户可免费使用。

另一个选择是开源”磷酸二酯酶“或”MultiOneTimePassword Credential Provider“,它允许您使用您可能已用于其他服务的 Google Authenticator。

我确信还有很多其他的选择。

相关内容