В свете недавних червей я ищу способы еще больше ограничить доступ к службам терминалов на моем общедоступном сервере Win2k3. Ограничение IP-адреса брандмауэра не является вариантом, поскольку все настоящие клиенты находятся на динамических адресах.
Кажется, наиболее вероятным вариантом является настройка функции IPSec VPN на сервере. Похоже, это потребует немного возиться, поэтому я подумал, что проверю, есть ли у кого-нибудь еще какой-либо опыт в этом, и действительно ли IPSec является самым простым и легким подходом?
Вне решения VPN, что очевидно является лучшим решением.
В прошлом у меня были клиенты, которые настаивали на максимальной безопасности без денег, LOL, кажется, передразнивает, а.
В любом случае, помимо очень надежных паролей, как вы говорите, измените номер порта, который прослушивает сервер терминалов. Все знают, что порт 3389 является терминальным сервером, поэтому измените его на что-то неясное, затем вы можете закрыть этот порт на их брандмауэре и открыть новый, сделать его чем-то слишком высоким в диапазоне портов, например 9000, чтобы он не сканировался во время простого сканирование портов из-за пределов вашей сети.
Потом иди сюда https://www.grc.com/x/ne.dll?bh0bkyd2 и запустите тест, вы не должны видеть порт своих терминальных серверов в списке, надеюсь, вы не увидите ничего, кроме своего почтового сервера, если он у вас есть
Взгляните на настройку «шлюза служб терминалов», или я думаю, что сервер 2008R2 называет его шлюзом удаленного рабочего стола. Вы настраиваете сервер IIS с выходом в Интернет, чтобы он работал в качестве шлюза, предпочтительно в DMZ за пределами вашего брандмауэра. Клиенты надежно связываются с сервером через HTTPS, защищенные сертификатом, подписанным доверенным публичным центром сертификации. Этот сервер, в свою очередь, может проверять сервер политики, на котором (или что) разрешено подключаться, и может даже выполнять проверку работоспособности, чтобы определить, какой тип сеанса RDP разрешен, а затем он передает RDP на реальный целевой сервер. У вас может быть политика, которая гласит, что только машины домена или машины с экспортированным вами сертификатом могут подключаться.
К вашему сведению, это решение требует времени, усилий и, вероятно, немного денег, но оно ОЧЕНЬ полезно. Не совместим с клиентом Mac OSX RDP от Microsoft 6 месяцев назад.