Я видел множество людей, предлагающих ограничить доступ RDP к диапазону IP-адресов с помощью IPsec вместо использования встроенного брандмауэра Windows. Это именно то, что мне нужно, но я не смог найти никаких примеров того, как на самом деле это настроить ... и я бы предпочел не испортить его и не загрузиться с сервера, а не быть возможность переподключиться.
Может ли кто-нибудь объяснить, как использовать IPsec для ограничения доступа RDP к диапазону IP-адресов?
IPSEC не инструмент для этого. Вам необходимо использовать какой-либо брандмауэр: либо встроенный брандмауэр Windows, либо расположенный в другом месте вашей сети.
Вы можете рассмотреть возможность использования IPSEC для шифрования и аутентификации трафика RDP в дополнение к брандмауэру для ограничения доступа к порту RDP, но это отдельные соображения с точки зрения безопасности.
Обратите внимание, что вы жестяная банка эффективно использовать IPSEC для блокировки доступа к RDP (просто требуется шифрование / аутентификация IPSEC для всего трафика RDP, и любой, кто пытается говорить без шифрования / аутентификации, не сможет пройти), но это побочный эффект и не самый правильный подход к ограничению доступа. Это также означает больше работы для вашего сервера (он будет пытаться согласовывать IPSEC для каждой попытки подключения, а не просто отказываться от попытки, если вы используете стандартный брандмауэр для ограничения доступа к порту).
Это старая ветка, но я только что наткнулся на этот сегодня поиск того же самого, что и запрашивающий. К сожалению, ответы ужасны, поскольку они есть в паре других тем, которые я нашел. Использование Windows FW, которое не является «настоящим» брандмауэром, было бы намного лучше, если бы мы могли легко использовать правила безопасного подключения для чего-то вроде ограничения доступа RDP к определенным хостам, потому что это позволяет правилам FW использовать учетные записи компьютеров, а не IP-адреса. IP-адресами труднее управлять; Имена компьютеров намного проще управлять, чем IP-адреса.
Печально, что, похоже, никто в Интернете не опубликовал несколько простых шагов для облегчения использования вкладки «удаленные компьютеры» правил Windows FW для ограничения доступа для чего-то вроде RDP. Мне уже более дня звонили в службу поддержки Microsoft Premier Support, но у меня до сих пор нет рабочего решения.
Что касается правил, в целом они не имеют приоритетов и, похоже, относятся к модели с минимальными привилегиями. Если вы создали правило «любой к любому» для ВСЕХ портов (и не настроили службы или программы так, чтобы были включены ВСЕ службы и программы), ЗА ИСКЛЮЧЕНИЕМ для RDP (TCP / 3389), вы разрешите весь трафик на и с сервера, а затем вы можете добавить правило КОНКРЕТНО для RDP (TCP / 3389), где вы можете ограничить объем доступа RDP.
Кстати, используя приведенное выше предложение, при включении WIndows FW вы можете оставить все правила по умолчанию на месте, просто отключить правила, специфичные для RDP, добавить правило «любой-любой, кроме RDP» и добавить новый RDP. правило доступа. Таким образом, если вы позже решите дополнительно заблокировать доступ, у вас уже есть рабочие правила.
Кроме того, с помощью GPO намного проще управлять во время тестирования, потому что, если вы что-то напутаете, вы можете просто вернуться к GPO. Вы также можете отфильтровать GPO для определенного компьютера.