目前,我们有一个 SBS 服务器和一个终端服务器(均为 2008R2),用户可以本地和远程登录到终端服务器并工作。
我们需要限制登录能力远程仅限少数用户。
有没有办法限制这种情况?我们之前曾看到(在另一个组织中)当用户尝试远程登录但实际上他们确实具有访问权限时,“请求的会话访问被拒绝”。
有人知道如何重新创建它吗?不幸的是,在这种情况下,TS 网关和更改 RDP 端口不是一种选择。
谢谢,
答案1
关闭第一墙上的 RDP 端口,并让需要它的少数用户通过 VPN 连接。
如今,RDP 服务器受到大量机器人的攻击,我一开始就担心将其暴露在互联网上。即使所有用户都拥有强大的密码,攻击者仍然可以淹没日志或触发锁定策略。因此,这也同时消除了一些安全隐患。将其置于 TS 网关或 VPN 后面会有所帮助。
答案2
考虑到您的预算,请在路由器上制定防火墙规则,以仅允许来自这些员工的 WAN IP 的 3389 流量。 SOHO 无法做到这一点,您需要一个企业入口路由器,这意味着他们要使用静态 IP。
答案3
创造性解决方案时间:让用户在使用 RDP 之前登录一个网页,该网页会将其设备的 IP 暂时添加到防火墙例外列表中。任何未先登录的用户将无法从外部访问 RDP。甚至可以为知道需要连接多长时间的用户提供选择您自己的 TTL 选项。您可以包含日志记录,以便能够包含一种用于删除 X 创建的所有例外的方法,以防万一。
您甚至可以要求客户端证书对服务器进行身份验证,并将密钥分发给每个用户以添加到他们的设备中,以增强安全性。