У меня есть пользователи, которые хотят использовать удаленный рабочий стол для удаленного доступа к своим рабочим станциям. У меня есть подключенный к RADIUS VPN-сервер, который я использую, однако я не забываю подключаться и отключаться, а не отправлять веб-трафик через VPN.
Я сомневаюсь, что они сделают это, потому что предыдущий ИТ-консультант оставил им RDP открытым и даже не предложил изменить пароли, такие как 1234, пароль и {вставить имя ребенка / питомца}. Теперь они должны использовать политику паролей, с которой поставляется R2, поэтому я знаю, что в этом отношении мы более безопасны.
Итак, самый важный вопрос - насколько опасно оставлять 7 и XP Remote открытыми для Интернета?
Протокол RDP с NLA и более высокие уровни безопасности довольно защищены от чьего-либо перехвата. Проблема с RDP в том, что у вас есть что-то открытое, что люди могут использовать для грубой силы в вашей сети.
Если вы все же решите включить это, будет очень важно установить довольно жесткую блокировку учетных записей. Настройте хороший IPS / IDS и убедитесь, что у вас есть доступ к журналу.
Если это то, что вам нужно разрешить без дополнительной настройки программного обеспечения на клиенте, я предлагаю вам хотя бы взглянуть на настройку шлюза терминальных служб. Это позволит вам контролировать, отслеживать и ограничивать RDP.
Обычно я бы не рекомендовал использовать RDP непосредственно через Интернет, хотя бы потому, что использование VPN дает вам дополнительный уровень аутентификации (и возможность легко интегрировать аппаратные токены). Протокол RDP включает шифрование и, если вы используете новейшие версии клиента RDP, аутентификацию удаленного сервера (и, возможно, взаимную аутентификацию через Kerberos - "аутентификация на уровне сети" или NLA на языке Microsoft).
Основная проблема с RDP не в протоколе, а скорее в проблемах с попытками перебора пароля. Будем надеяться, что ваш пограничный брандмауэр может ограничивать скорость новых попыток подключения. Есть хост-решения блокировать IP-адреса, вызывающие повторяющиеся попытки подключения методом грубой силы, но это только касание пальца. Хорошая политика паролей полезна, но вы никогда не можете быть уверены, что ваши пользователи не используют одни и те же пароли где-то вне вашего контроля (сторонний сайт, который становится «владельцем» и т. Д.). Добавление аутентификации VPN поверх пароля RDP дает подход с поясом и подтяжками.
«Недостаток», который я слышал в отношении VPN по сравнению с прямым RDP, относится к подключению на уровне IP к локальной сети, предоставляемой клиентам VPN. Для этого я бы сказал, просто завершите вашу VPN в DMZ и ограничьте входящий и исходящий трафик VPN. Это не веский аргумент в пользу использования RDP в Интернете по сравнению с правильным VPN.
Если у вас установлены пароли достаточной длины и сложности, RDP зашифрован, поэтому он по большей части безопасно. Я лично не стал бы этого делать, предпочитая использовать что-то вроде клиента Cisco VPN на рабочих станциях, а затем VPN для рабочих станций, а не оставлять его открытым для веб-каналов. RDP может быть восприимчив к атакам MITM, и вы, вероятно, получите ботов и сканирования, которые будут их проверять.
Я бы также установил вашу политику, чтобы заблокировать учетные записи, если они будут трижды испробованы с неправильными паролями, чтобы предотвратить / минимизировать атаки грубой силы.
Резюме: вероятно, это достаточно безопасно, но это плохая практика, и ее следует избегать.
РЕДАКТИРОВАТЬ: есть черви, которые атакуют RDP, поэтому вы должны помнить об этом при применении своих политик. То есть, Морто.
Оставлять RDP открытым для Интернета - плохая идея. Маленькие люди из других стран будут постоянно подбирать аккаунты на вашем сервере / домене. Это заблокирует учетные записи и в конечном итоге может привести к взлому. Лучше бы заставить их подключать VPN и туннелировать трафик RDP.
* Edit: Я должен быть справедливым ... маленькие люди, взламывающие вас, не всегда из других стран. ;-)