我需要公开我的远程桌面服务器(终端服务)以供从我们的网络外部访问。目前,它只能从我们的网络内部访问。
我知道打开防火墙并转发端口很容易。
但是,我该如何保护机器本身?最佳做法是什么?我担心黑客会试图入侵它。
任何最佳实践指南/建议都将非常感激。
编辑:
关于我发现的一个产品的问题:
按 IP、MAC 地址、计算机名称等过滤传入的 RDP 连接
有人能评论一下它的安全性吗?看起来我也可以用它来限制按机器名称/mac 进行的访问?还有人用过吗?
答案1
这可能超出了您想要做的事情,但以下是我们为不使用 VPN 的远程用户使用 RDP 的方法。
我们最近开始使用 RD 网关管理器和远程桌面服务,这是 Windows 2008 中的一个角色。我们已将其设置为通过我们的 TMG 服务器直接连接到用户计算机。它使用如上所述的 NLA。连接的用户必须是正确的 AD 组的成员,并且是正确的本地组的成员才能被允许访问。根据您希望如何设置它,您可以通过网页进行连接,该网页基本上会打开 mstsc 并输入 RD 网关的代理设置,或者您可以手动设置计算机上的设置,以便每次打开它时它都会尝试通过该代理。到目前为止,它运行良好,而且似乎很安全。
答案2
作为近期历史我们已经看到,暴露协议存在固有风险。但是,您可以采取一些步骤来保护系统:
- 强制执行网络级别身份验证。
- 强制连接加密。
- 将允许通过终端服务登录的用户数量限制为绝对最小值,并且不允许使用“特殊”帐户(如默认域帐户)
Administrator
或理想情况下任何其他高权限帐户。 - 确保允许登录的帐户的密码是强密码。这取决于有多少用户以及您当前的政策如何,但转储哈希并尝试破解它们、提高密码长度限制或只是教育用户都是好方法。
答案3
我强烈建议使用远程桌面网关服务。它为您提供了一个可以强制执行有关谁可以从哪里连接到什么的策略的地方。它为您提供了一个记录日志的好地方,因此您可以看到谁正在尝试登录,而无需检查场中各个服务器的事件日志。
如果您还没有这样做,请确保您的帐户锁定策略设置得足够强大。即使使用 NLA 和网关,RDP 也会让人们有机会尝试暴力破解密码。强大的锁定策略极大地提高了暴力破解的难度。
在系统上设置有效的 SSL 证书,这样如果有人试图执行某种 MITM 攻击,客户端就会通知最终用户。
答案4
我建议采取以下措施:
- 更改远程桌面连接使用的端口
- 不要使用通用用户名,而要采用更复杂的命名策略
- 高密码要求
- 关闭任何其他未使用的外部端口(入站)
选修的
- 使用 VPN(CISCO、Open VPN 等),然后使用内部 IP 连接到服务器。
- 如果可能,请使用智能卡登录