У меня есть настольный компьютер и ноутбук под управлением Windows 7 Professional. Моя цель - защитить рабочий стол, чтобы я мог безопасно использовать «Удаленный рабочий стол» через Интернет ТОЛЬКО с ноутбука.
Я уже сделал следующее для защиты рабочего стола:
Ни один из них не позволяет подключаться ТОЛЬКО с моего ноутбука.
Что еще я могу сделать для повышения безопасности?
Я бы добавил модуль двухфакторной аутентификации, чтобы злоумышленники не могли проникнуть внутрь грубой силой (люди обычно используют ужасно простые пароли).
Один из таких вариантов - Duo Security, который может отправлять запросы на смартфоны (через проприетарное приложение) или отправлять одноразовые пароли в текстовых сообщениях. Это бесплатно для 10 пользователей.
Другой вариант - открытый исходный код »mOTP-CP"или" MultiOneTimePassword Credential Provider ", который позволяет вам использовать Google Authenticator, который вы уже можете использовать для других служб.
Я уверен, что есть много других вариантов.
Не знаю, поддерживает ли используемый вами RDP-клиент прокси SOCKS5. Но если это так, вы можете настроить зашифрованный ssh туннель с клиентскими сертификатами.
SSH-туннели настроить не так уж и сложно.
Хотя одним из вариантов было бы использование ipsec, это может быть PITA для надежной работы в любой сети - туннельные протоколы намного надежнее.
Если бы это был я, я бы отказался от встроенного шифрования / случайного непонятного номера порта / сложного пароля и направил бы соединение с помощью stunnel с проверкой сертификата клиента (и с использованием более простого пароля). Таким образом вы можете ограничить доступ к устройству с правильным клиентским сертификатом (или сертификатом, подписанным правильным центром сертификации).
Запуск собственного центра сертификации может быть излишним только для одного удаленного пользователя - несколько центров сертификации предоставляют подписанные сертификаты для использования электронной почты относительно дешево (по сравнению с сертификатами для использования в веб-серверах / VPN). Действительно, раньше Thawte раздавала их бесплатно, Entrust в настоящее время взимает 20 долларов в год. Но создать свой собственный CA не так уж и сложно (хотя я никогда не пробовал настраивать CA на MSWindows).
Затем брандмауэр обеспечивает прямой доступ к сообщению RDP на рабочем столе и разрешает соединения только с того IP-адреса, на котором работает серверный stunnel.
Раньше я использовал такую настройку для VNC, почты и telnet (да, я знаю, это долгая история) для дорожных воинов. RDP будет работать с такой настройкой.
На роутере у Вас может быть возможность ограничить передачу MAC-адресов сетевой карты Вашего ноутбука. Это зависит от маршрутизатора: здесь у вас есть пример: http://www.wikihow.com/Create-Machine-Address-Filter-List-on-a-Home-Router . Проверьте документацию к маршрутизатору.
Пара вариантов ...