鉴于最近出现的一些蠕虫,我正在寻找方法来进一步限制对面向公众的 Win2k3 服务器上的终端服务的访问。防火墙 IP 地址限制不是一种选择,因为真正的客户端都在动态地址上。
似乎最有可能的选择是在服务器上设置 IPSec VPN 功能。这看起来需要一点时间,所以我想检查一下是否有其他人有这样做的经验,以及 IPSec 是否实际上是最简单、最轻松的方法?
答案1
显然,VPN 解决方案之外的最佳解决方案。
我过去有一些客户坚持要求不花钱就能获得最好的安全保障,哈哈,听起来很可笑吧。
无论如何,除了像您所说的非常强的密码外,还要更改终端服务器监听的端口号。每个人都知道端口 3389 是终端服务器,因此请将其更改为一些不显眼的端口,然后您可以在防火墙上关闭该端口并打开新端口,将其设置为端口范围内非常高的值,例如 9000,这样它就不会在网络外部的简单端口扫描期间被扫描到。
然后去这里https://www.grc.com/x/ne.dll?bh0bkyd2并运行测试,你不应该在列表中看到你的终端服务器端口,希望你除了邮件服务器之外什么都看不到,如果你有一个
答案2
看一下如何设置“终端服务网关”,或者我认为服务器 2008R2 将其称为远程桌面网关。您设置一个面向 Internet 的 IIS 服务器作为网关,最好位于防火墙外的 DMZ 中。客户端通过 HTTPS 安全地联系服务器,并使用由受信任的公共证书颁发机构签名的证书进行保护。该服务器可以依次检查策略服务器是否允许连接(或允许什么),甚至可以进行健康检查以确定允许哪种 RDP 会话,然后将 RDP 传输到真正的目标服务器。您可以制定一项策略,规定只有域计算机或具有您导出的证书的计算机才允许连接。
仅供参考,此解决方案需要时间、精力,可能还需要一点钱,但极其有用。6 个月前与 Microsoft 的 Mac OSX RDP 客户端不兼容。