大家可能都知道,Windows 版 RDP 中不断出现新的安全漏洞。我在 Google 上搜索并阅读了有关此问题以及可能的修复/解决方案的信息。
令我惊讶的是,没有人提到限制 Windows 防火墙中的 IP 范围作为一种可能的解决方法(以便只有您的 IP 可以连接到机器)。我猜这是因为,出于某种原因,这不是一个好的解决方案(我不是专家)。
所以我的问题是,这个解决方案有什么问题?
答案1
您没有将该建议视为潜在解决方案的部分原因是,它并不是解决方案,而只是一种变通方法。通过以这种方式设置 IP 阻止,您将范围限制为类似于 VPN 服务器所显示的范围,该服务器允许任何拥有正确凭据的人连接到它。它限制了漏洞的范围,但并没有减轻漏洞的影响。
故障模式是,其中一个受信任的 IP 将被感染一些带有 RDP 漏洞扫描器的恶意软件,然后您就开始比赛了。
但是,限制服务的 IP 范围极大地减少了这个问题的曝光!仍然是一个好主意。
答案2
在适当的情况下,无需支付任何费用。我们一直都为顾客这样做。
问题出现在您没有意识到(或忘记)您已经设置了 IP 地址限制,而您的最后一个(或唯一一个)可通过 RDP 访问的 IP 地址发生变化时 - 突然间,您被锁定了,而且您无法修复它(因为您被锁定了)。
我们通过将员工 VPN 范围(RFC1918,因此不太可能被强制重新编号)添加到所有客户服务器的允许 IP 范围来解决工作中的问题,因此如果客户被锁定,他们可以随时致电我们更改限制。我们还可以远程控制台访问所有内容(通过 VM 主机控制台或 iDRAC,取决于它是 VM 还是物理机器,只能通过具有自己的冗余 VPN 介导访问限制集的带外后门网络访问)。
但是,由于缺少用于(重新)获取访问权限的带外机制,IP 地址限制总是存在将您自己完全锁定的风险(并且,根据您的情况,可能无法挽回)。
答案3
没什么。如果您将 RDP 开放到互联网,这是一个很好的解决方案。另一个最佳做法是将面向互联网的一侧移至其他端口(3389 除外)。
我能想到的唯一原因是人们太懒了,不愿意维护防火墙中可能变化的 IP 限制范围。
只要管理正确,RDP 与任何其他协议一样安全。
答案4
没什么——这是自 Windows 2000 以来的 Windows 最佳实践,请参阅本文以获取有关如何设置各种隔离级别的参考http://technet.microsoft.com/en-us/network/bb545651