我有一些用户想要使用远程桌面远程访问他们的工作站。我有一个使用 RADIUS 连接的 VPN 服务器,但我记得要连接和断开连接,而不是通过 VPN 发送网络流量。
我怀疑他们会这样做,因为之前的 IT 顾问让他们的 RDP 保持打开状态,甚至没有建议更改密码,例如 1234、密码和 {插入孩子/宠物名称}。现在他们必须使用 R2 附带的密码策略,所以我知道我们在这方面更安全。
因此最重要的问题是,将 7 和 XP Remote 开放到互联网上有多危险?
答案1
如果你设置的密码长度和复杂度都足够,RDP 是加密的,因此大部分情况下是安全的。我个人不会这么做,我更愿意在工作站上使用类似 Cisco VPN 客户端的东西,然后通过 VPN 连接到工作站,而不是将其开放给 webbertubes。RDP 可能容易受到 MITM 攻击,您可能会得到探测这些攻击的机器人和扫描。
我还会设置您的策略,如果三次输入错误密码,则会锁定帐户,以防止/尽量减少暴力攻击。
摘要:这样做可能足够安全,但这是不好的做法,应该避免。
编辑:有蠕虫会攻击 RDP,因此在执行策略时需要注意这一点。例如 Morto。
答案2
我一般不建议直接在互联网上使用 RDP,因为使用 VPN 会给你增加一层身份验证(并且可以轻松集成硬件令牌)。RDP 协议确实包括加密,如果你使用的是最新版本的 RDP 客户端,还包括远程服务器的身份验证(以及可能通过 Kerberos 进行相互身份验证——“网络级身份验证”,或微软用语中的 NLA)。
RDP 的主要问题不是协议,而是暴力破解密码的问题。希望您的边缘防火墙可以限制新连接尝试的速率。有基于主机的解决方案阻止重复暴力连接尝试的 IP 地址,但这只是在添乱。良好的密码策略很有帮助,但您永远无法确保您的用户不会在您控制范围之外的某个地方(被“拥有”的第三方网站等)使用相同的密码。在 RDP 密码之上添加 VPN 身份验证是一种双重方法。
我听到的关于 VPN 与直接 RDP 的“缺点”与 VPN 客户端可获得的 LAN IP 级连接有关。对此,我会说只需在 DMZ 中终止 VPN 并限制进出 VPN 的流量即可。这不是在 Internet 上使用 RDP 而不是使用正确 VPN 的有效理由。
答案3
具有 NLA 和更高安全级别的 RDP 协议可以很好地防止被人拦截。RDP 的问题在于,您基本上拥有一些公开的东西,人们可能会利用它们强行闯入您的网络。
如果您选择启用此功能,设置非常严格的帐户锁定将非常重要。设置良好的 IPS/IDS,并确保记录访问。
如果您需要允许这一点,而无需在客户端上进行额外的软件配置,我建议您至少考虑设置终端服务网关。这将允许您控制、监视和限制 RDP。
答案4
让 RDP 开放到互联网上永远不是一个好主意。其他国家的小人会不断暴力破解您服务器/域上的帐户。这将锁定帐户并最终导致入侵。最好强迫他们连接 VPN 并隧道传输 RDP 流量。
*编辑:我应该公平一点...那些攻击你的小人物并不总是来自其他国家。;-)