我们目前在 Windows 防火墙中使用 IP 白名单,以仅允许某些计算机访问我们服务器上的远程桌面。不幸的是,我现在有了新的 ISP,我的外部 IP 地址每周都在变化。有没有一种简单的替代方案可以代替 Windows 防火墙中的 IP 白名单?
答案1
我强烈建议不要将您的服务器直接放在互联网上。尽管如今的 Windows 防火墙已经非常完善,但您仍会面临机器完整性的风险,甚至可能还会危及它所连接的任何东西。Nessus 和 Metasploit 等工具完全消除了漏洞识别和部署的复杂性。
我会考虑实施某种 SSL VPN,并通过它代理您的 RDP 流量。然后,SSL VPN 端点可以执行身份验证/端点合规性检查,甚至可能进行补救。
抱歉,最近我无法添加评论,因此我必须在这里标记我的评论:
即使对于 HTTP(S) 流量,我也建议使用某种第三方(非主机)防火墙。原因是,如果您的主机防火墙受到威胁,您的服务器也会受到威胁。我必须承认,我习惯于大型企业部署,那里有安全预算,所以我必须自己寻找 SOHO 风格的设备。
答案2
我同意上述 Simon 的观点。您可以考虑的另一个选择是电话因素。我相信最多 25 位用户可以免费使用。
代理在服务器上运行,可以与 Active Directory/LDAP/本地用户配合使用,进行后端身份验证;您只需配置一个电话号码,并选择是拨打语音电话还是发送短信,其他 PIN 码是可选的。代理与登录过程相关联,在用户名和密码验证后,代理会拨打电话到 PhoneFactor 以启动回拨验证过程;登录“挂起”并等待呼叫完成,我通常在 15 秒后登录,因此从未遇到过超时问题。
通过将 PIN 选项添加到您的用户帐户(在代理设置中),您实际上获得了三因素身份验证,因为会有两个“您知道的东西”要求(如果您禁用管理员帐户并为自己创建一个唯一的管理员用户,则有 4 个要求):本地用户密码和 PhoneFactor PIN;第三个因素是“您拥有的东西”,即您的手机。
效果很好;将它用于我们的终端服务器,因为我经常在出站 VPN 可能带来麻烦的地方。
答案3
如果我正确理解了这个问题,您需要远程管理来自您的 ISP 通过 DHCP 分配给您的最终用户帐户(例如在家里或从蜂窝调制解调器)的不同 IP 的盒子,并且您可能无法尝试将您可能连接的防火墙上的每个 IP 列入白名单?
我们也遇到了同样的问题,无法为拥有相当数量的服务器的移动管理员定义固定 IP,
- 创建远程桌面邀请以分发给授权的远程管理员。
- 将监听端口从 3389 修改为另一个但不一定是万无一失的端口(系统安全中没有什么是万无一失的)。根据服务器的版本,我们必须修改服务器注册表中的端口http://support.microsoft.com/kb/187623
服务配置
notepad.exe %systemroot%\system32\drivers\etc\services
该方法使预定义的巡回管理员能够在必要时前往远程位置来远程管理他们的系统。