Как вы, наверное, все знаете, в RDP для Windows продолжают появляться новые недостатки безопасности. Я искал и читал об этой проблеме и возможных исправлениях / решениях.
Меня удивляет, что никто не упоминает об ограничении ip-области в брандмауэре Windows в качестве возможного исправления (чтобы только ваш ip мог подключаться к машине). Я думаю, это потому, что по какой-то причине это не лучшее решение (я не эксперт).
Итак, мой вопрос: что не так с этим решением?
Одна из причин, по которой вы не рассматриваете этот совет как потенциальное исправление, заключается в том, что это не исправление, а всего лишь временное решение. Настраивая IP-блок таким образом, вы ограничиваете область действия чем-то похожим на область, представленную сервером VPN, который позволяет любому, у кого есть правильные учетные данные, подключаться к нему. Это ограничивает масштаб уязвимости, но не уменьшает ее.
Режим отказа заключается в том, что один из доверенных IP-адресов заражается каким-то вредоносным ПО, на котором установлен сканер уязвимостей RDP, и тогда вы отправляетесь в гонки.
Однако ограничение объема IP для службы в значительной степени уменьшает подверженность этой проблеме! Все еще хорошая идея.
Ничего при соответствующих обстоятельствах. Мы делаем это для клиентов все время.
Проблема возникает, когда вы не понимаете (или забываете), что у вас есть ограничения IP-адреса, и ваш последний (или единственный) IP-адрес, доступный по протоколу RDP, изменяется - внезапно вы заблокированы, и вы можете не исправить (потому что вы заблокированы).
Мы решили проблему на работе, добавив диапазоны VPN для наших сотрудников (которые соответствуют RFC1918 и, следовательно, вряд ли будут принудительно перенумерованы) к разрешенным диапазонам IP-адресов на всех серверах клиентов, поэтому, если клиент заблокирован, он всегда может позвонить нам. чтобы изменить ограничения. У нас также есть удаленный консольный доступ ко всему (либо через консоль хоста виртуальной машины, либо через iDRAC, в зависимости от того, виртуальная ли это виртуальная машина или физическая машина, доступный только через внеполосную бэкдорную сеть с собственным резервным набором VPN- опосредованные ограничения доступа).
Однако при отсутствии внеполосного механизма для (повторного) получения доступа ограничения IP-адресов всегда имеют риск полной блокировки (и, в зависимости от ваших обстоятельств, возможно, безвозвратно).
Ничего. Это отличное решение, если вы откроете свой RDP в Интернете. Еще одна передовая практика - переместить выходящую в Интернет сторону на другой порт (отличный от 3389).
Единственная причина, по которой я могу думать, это то, что люди слишком ленивы, чтобы поддерживать в брандмауэре возможное изменение диапазона ограничений IP.
RDP так же безопасен, как и любой другой протокол, при условии правильного управления.
Ничего - это лучшая практика для Windows с тех пор, как Windows 2000 см. Эту статью для справок о том, как настроить различные уровни изоляции. http://technet.microsoft.com/en-us/network/bb545651