У меня Windows Server 2012 на Amazon EC2 в недоменной среде.
Мне нужно подключить к нему удаленный рабочий стол, а также подключиться к экземпляру сервера Microsoft SQL, работающему на нем.
В дополнение к открытию этих портов в брандмауэре Windows я хотел бы сделать это более безопасным. Я не могу ограничить подключение к определенному IP, потому что у меня есть динамический IP-адрес от моего интернет-провайдера.
Я думал об использовании чего-то, что могло бы существовать как на моем клиентском компьютере, так и на сервере, в качестве необходимого условия для подключения. Возможно какой-то SSL-сертификат?
Я нашел это для Windows Server 2003:http://www.alkia.net/index.php/faqs/106-how-to-secure-remote-desktop-connections-using-tls-ssl-based-authentication который кажется похожим на то, что я ищу, но предполагает, что среда Active Domain используется и охватывает только удаленный рабочий стол, а не любое соединение через брандмауэр. Плюс графический интерфейс для настройки служб терминалов даже не существует в Windows Server 2012.
Я вижу, что в Windows Server 2012 на вкладке «Общие» любого правила брандмауэра есть опция «Разрешить соединение, если оно безопасное», которое можно включить и настроить. Также есть папка «Правила безопасности подключения» в «Брандмауэре Windows в режиме повышенной безопасности». Я подозреваю, что то, что я ищу, связано с этими двумя вариантами, но я не уверен, как они работают вместе.
Возможно ли то, что я пытаюсь достичь, даже в недоменной среде? Есть ли какие-нибудь пошаговые инструкции по настройке для Windows Server 2012?
IMHO, безусловно, самым быстрым и простым решением было бы использовать настройку IPSec с использованием только транспортного режима и аутентификации на основе сертификатов.
Это позволит вам подключаться к общедоступному IP-адресу вашего сервера только с вашего конкретного ноутбука (или где бы вы ни установили свой собственный сертификат).
VPN - это здорово, но это действительно излишество, если все, что вам нужно, это транспортный режим - большинство руководств по VPN предполагают, что необходимо настроить туннелирование, и это излишне в вашем случае использования.
Если бы я собирался сделать это:
Заметка может быть пара конкретных шагов AWS, таких как открытие портов, которые я не рассмотрел. Вы можете запустить тестовый экземпляр, чтобы опробовать это.
Указанная вами статья не обязательно применима только к средам домена. Как отмечено в конце:
Действия, описанные в этой статье, предполагают, что вы используете службы терминалов в среде домена Active Directory, а также используете собственную PKI на базе Microsoft. Однако следует отметить, что это не требование., если вы сосредоточены на безопасности, когда компьютеры должны доверять иерархии ЦС.
Однако, как вы заявили, он будет защищать только ваши RDP-соединения.
Я предполагаю, что VPN - очевидное решение, но, поскольку вы не упомянули об этом, я предполагаю, что это не то, что вы ищете. Вы можете уменьшить поверхность атаки одним или несколькими из следующих способов:
Хотя некоторые из этих опций представляют собой просто безопасность через неясность, они все же лучше, чем ничего, и хороший уровень защиты, когда используются все вместе.