Я планирую впервые развернуть Windows-сервер, на котором запущено веб-приложение, в колокации. Я уже запустил блокировку IIS и сделал ряд других настроек безопасности на основе рекомендаций умных людей здесь, на сайте.
Итак, теперь мне интересно, что я делаю для обеспечения безопасного удаленного рабочего стола или аналогичного доступа к машине для настройки и управления приложением в Интернете. перевод приложения в автономный режим и т. д. Прошу ли я провайдера создать какой-то белый список, позволяющий моему офисному IP перенаправлять на порт RDP, или мне нужно предоставить оборудование или другое программное обеспечение для блокировки ящика?
Если есть аналогичный вопрос или совет, укажите путь, и я закрою этот вопрос.
Я обычно запускаю RDP на порту, "отличном от" 3389 (безопасность через неясность). Кроме того, я блокирую RDP, чтобы разрешить только одну определенную учетную запись пользователя.
В принципе, RDP использует шифрование, поэтому вы можете просто использовать его через Интернет как есть. Однако у него есть история уязвимостей безопасности, и, вероятно, лучше всего оставить шифрование для специального протокола.
Поэтому я бы рекомендовал настроить какое-то дополнительное шифрование, либо VPN, либо туннель SSH, либо подобное. Затем вы можете использовать RDP.
См. Например
Удаленный рабочий стол через SSH в Windows 7
для использования RDP поверх SSH. SSH, вероятно, проще настроить, если он вам нужен только для RDP. Если вам также нужен доступ к другим сервисам, VPN может быть более подходящей (но тогда вы все равно можете получить доступ ко всему локально через RDP).
Ограничение доступа по IP - это дополнительная мера безопасности, но она также серьезно ограничивает ваши возможности доступа к системе. С туннелем VPN / SSH я не думаю, что это необходимо.
Когда ваш сервер находится в городе, есть ли у него только доступ к Интернету, или у вас также есть расширение локальной сети или аналогичный частный канал для управления им? Если так, то это не проблема, и RDP не будет проблемой. Если нет, то я определенно рекомендую заблокировать RDP после значений по умолчанию; другой порт, учетная запись администратора со странным названием с надежным паролем и ограничением того, какие IP-адреса могут подключаться к службе.