У нас есть Windows Server 2008 Standard, на котором запущен терминальный сервер, к которому члены нашей команды подключаются из удаленных от сети мест через правило брандмауэра в нашем маршрутизаторе (Linksys RV042). По соображениям безопасности мы изменили порт TS по умолчанию на неиспользуемый номер порта высокого уровня.
Мы хотели бы добавить дополнительный уровень безопасности, который был бы вызовом имени пользователя / пароля, не связанным с терминальным сервером и не связанным с учетными данными пользователя. Я не уверен, что это вообще возможно.
То, что я хочу здесь сделать, похоже на добавление запроса пароля Apache через файл htaccess в каталог wp-admin установки wordpress, у которого есть собственный логин. Таким образом, первый механизм аутентификации осуществляется через службу, которая не запускает второй механизм аутентификации.
Есть идеи, как это сделать?
Поддерживает ли ваш брандмауэр аутентификацию пользователей на основе службы, правила или приложения (RDP)?
Кроме того, как изменение порта RDP на сервере делает его более безопасным? Любой, кто просматривает диапазон вашей сети на предмет прослушивания портов, просто найдет новый порт, а не порт по умолчанию.
Рассматривали ли вы шлюз служб терминалов Server 2008? Это улучшит как шифрование, используемое для защиты соединения, так и предоставит вам больший контроль над RDP.
http://technet.microsoft.com/en-us/library/cc731264%28WS.10%29.aspx
Вы можете сделать терминальный сервер собственным контроллером домена в собственном домене. Пусть основной домен доверяет TS-домену. Попросите пользователей TS пройти аутентификацию в TS-домене. Добавьте пользователей TS-домена в необходимые группы безопасности. Таким образом, если ваш TS будет скомпрометирован, ваш главный администратор домена не будет скомпрометирован, по крайней мере, не обязательно.
VPN также является дополнительным уровнем безопасности, который вы, возможно, захотите добавить.
В Linksys RV042 Маршрутизатор, похоже, поддерживает завершение VPN. Почему бы просто не потребовать от клиентов сначала установить VPN-соединение с маршрутизатором?
Если такая настройка VPN на маршрутизаторе невозможна, настройте другой сервер в вашей сети, который может завершить работу VPN. Похоже, вам действительно не нужен полный vpn, даже простого SSH-туннеля может быть достаточно.
Лучшее, что вы можете сделать, это включить аутентификацию на уровне сети (NLA) на каждом из серверов, что потребует от пользователя ввода имени пользователя / пароля перед подключением и можно настроить через GPO.
Чтобы добиться желаемого эффекта, может быть способ изменить время истечения срока действия билета Kerberos конкретного пользователя, предоставленного им Active Directory после входа в систему. Если нет, вы можете создать отдельную / специальную учетную запись пользователя, которая пароль периодически меняется где-то скриптом; тогда вы можете потребовать от пользователей «войти» в какое-нибудь небольшое веб-приложение, которое при желании даст им последний пароль.