วิธีการรักษาความปลอดภัยสาธารณะหันหน้าไปทาง Remote Desktop Server?

ฉันกำลังมองหาที่ต้องการเปิดเผย Remote Desktop Server ของฉัน (บริการเทอร์มินัล) เพื่อให้สามารถเข้าถึงได้จากนอกเครือข่ายของเรา ตอนนี้สามารถเข้าถึงได้จากภายในเครือข่ายของเราเท่านั้น

ฉันรู้ว่ามันง่ายพอที่จะเปิดไฟร์วอลล์และส่งต่อพอร์ต

อย่างไรก็ตามฉันจะรักษาความปลอดภัยให้กับตัวเองได้อย่างไรและอะไรคือวิธีปฏิบัติที่ดีที่สุดในเรื่องนี้? ความกังวลของฉันคือแฮกเกอร์สามารถทำงานได้

แนวทางปฏิบัติ / คำแนะนำใด ๆ ที่ดีที่สุดจะได้รับการชื่นชมมาก

แก้ไข:

คำถามเกี่ยวกับผลิตภัณฑ์ที่ฉันพบ:

กรองการเชื่อมต่อ RDP ขาเข้าโดย IP, ที่อยู่ MAC, ชื่อคอมพิวเตอร์และอื่น ๆ

ทุกคนสามารถแสดงความคิดเห็นเกี่ยวกับความปลอดภัยของสิ่งนี้ได้หรือไม่? ดูเหมือนว่าฉันสามารถใช้มันเพื่อ จำกัด การเข้าถึงด้วยชื่อเครื่อง / mac? มีใครใช้อีกไหม

นี่อาจเป็นมากกว่าสิ่งที่คุณต้องการทำ แต่นี่คือวิธีที่เราใช้ RDP สำหรับผู้ใช้ระยะไกลที่ไม่ได้ใช้ VPN

เมื่อเร็ว ๆ นี้เราเริ่มใช้ RD Gateway Manager พร้อม Remote Desktop Services ซึ่งเป็นบทบาทใน Windows 2008 เรามีการตั้งค่าให้ผ่านเซิร์ฟเวอร์ TMG ของเราและไปยังเครื่องผู้ใช้โดยตรง มันใช้ NLA ดังกล่าวข้างต้น ผู้ใช้ที่เชื่อมต่อจะต้องเป็นสมาชิกของกลุ่มโฆษณาที่ถูกต้องและสมาชิกของกลุ่มท้องถิ่นที่ถูกต้องเพื่อให้สามารถเข้าถึงได้ ขึ้นอยู่กับว่าคุณต้องการตั้งค่าอย่างไรคุณสามารถเชื่อมต่อผ่านหน้าเว็บที่เปิด mstsc และป้อนการตั้งค่าพร็อกซีสำหรับเกตเวย์เกตเวย์โดยพื้นฐานหรือคุณสามารถตั้งค่าการตั้งค่าบนเครื่องของคุณด้วยตนเองเพื่อให้ทุกครั้งที่คุณเปิด ผ่านทางพร็อกซีนั้น จนถึงตอนนี้มันทำงานได้ค่อนข้างดีและดูเหมือนว่าจะปลอดภัย

ตามประวัติเมื่อเร็ว ๆนี้แสดงให้เราเห็นว่ามีความเสี่ยงโดยธรรมชาติในการเปิดเผยโปรโตคอล แต่มีบางขั้นตอนที่คุณสามารถดำเนินการเพื่อปกป้องระบบ:

• บังคับใช้การรับรองความถูกต้องระดับเครือข่าย
• บังคับใช้การเข้ารหัสการเชื่อมต่อ
• จำกัด ผู้ใช้ที่ได้รับอนุญาตให้ลงชื่อเข้าใช้บริการเทอร์มินัลให้น้อยที่สุดและไม่อนุญาตให้ใช้บัญชี "พิเศษ" เช่นAdministratorบัญชีโดเมนเริ่มต้นหรือบัญชีที่มีสิทธิ์สูงอื่น ๆ
• ตรวจสอบให้แน่ใจว่ารหัสผ่านนั้นแข็งแรงในบัญชีที่ได้รับอนุญาตให้เข้าสู่ระบบขึ้นอยู่กับจำนวนผู้ใช้และลักษณะของนโยบายของคุณในขณะนี้ แต่ทิ้งดับแฮชและพยายามที่จะถอดรหัสพวกเขา แนวทางที่ดี

ฉันขอแนะนำอย่างยิ่งให้ใช้บริการเกตเวย์เดสก์ท็อประยะไกล มันทำให้คุณมีสถานที่ที่คุณสามารถบังคับใช้นโยบายเกี่ยวกับผู้ที่สามารถเชื่อมต่อกับสิ่งที่มาจากที่ไหน มันให้คุณเป็นสถานที่ที่ดีสำหรับการเข้าสู่ระบบเพื่อให้คุณสามารถดูว่าใครกำลังพยายามเข้าสู่ระบบโดยไม่ตรวจสอบบันทึกเหตุการณ์ของแต่ละเซิร์ฟเวอร์ในฟาร์มของคุณ

หากคุณยังไม่ได้ดำเนินการตรวจสอบให้แน่ใจว่านโยบายการล็อคบัญชีของคุณนั้นค่อนข้างดี RDP แม้แต่กับ NLA และเกตเวย์ให้บางสิ่งบางอย่างแก่คนที่จะพยายามบังคับใช้รหัสผ่านที่ดุร้าย นโยบายการล็อคที่แข็งแกร่งทำให้ยากมากสำหรับการพยายามบังคับให้เดรัจฉานประสบความสำเร็จ

ตั้งค่าใบรับรอง SSL ที่ถูกต้องบนระบบดังนั้นลูกค้าจะแจ้งผู้ใช้ปลายทางหากมีคนพยายามทำการโจมตี MITM บางประเภท

สิ่งนี้ไม่ปลอดภัยมาก แต่มีสองสามวิธีในการเสริมสร้างความปลอดภัย

ไม่อนุญาตการเข้าถึงอินเทอร์เน็ตจากเซิร์ฟเวอร์นั้น มัลแวร์ที่ร้ายแรงจำนวนมากพยายามสื่อสารกลับไปยังคำสั่งและเซิร์ฟเวอร์ควบคุมเมื่อมัลแวร์ทำให้ระบบของคุณเสียหาย การกำหนดค่ากฎการเข้าถึงไฟร์วอลล์เพื่อไม่อนุญาตการเข้าถึงขาออกโดยค่าเริ่มต้นและกฎเพื่ออนุญาตการเข้าถึงขาออกไปยังเครือข่ายภายใน / ที่รู้จักเท่านั้นและเครือข่ายย่อย RFC 1928 สามารถลดความเสี่ยงได้

ใช้สมาร์ทการ์ดหรือการตรวจสอบสิทธิ์แบบสองปัจจัยอื่น ๆ ซึ่งมักจะมีราคาแพงและพบได้ในองค์กรขนาดใหญ่อย่างไรก็ตามตัวเลือกต่าง ๆ กำลังได้รับการปรับปรุง (PhoneFactor อยู่ในใจ) โปรดทราบว่าจำเป็นต้องมีสมาร์ทการ์ดต่อเซิร์ฟเวอร์เพื่อเป็นตัวเลือกในการกำหนดค่าในระดับบัญชี

กำหนดค่าเครือข่ายในขอบเขตวางเซิร์ฟเวอร์เดสก์ท็อประยะไกลในขอบเขตและใช้ VPN ราคาไม่แพงเพื่อให้การเข้าถึง ตัวอย่างจะเป็น Hamachi โปรดทราบว่าการไม่อนุญาตการเข้าถึงอินเทอร์เน็ตจากเครือข่ายในขอบเขตก็เป็นวิธีปฏิบัติที่ดีเช่นกัน

หากเป็นไปได้อย่าให้เดสก์ท็อปเต็มรูปแบบ แต่เผยแพร่แอปพลิเคชันที่พวกเขาต้องการ หากใครบางคนต้องการเข้าถึงแอปพลิเคชันเดียวเท่านั้นก็เป็นไปได้ที่จะกำหนดค่า "โปรแกรมเริ่มต้น" ซึ่งอาจเป็นเปลือกหุ้มที่เรียบง่ายที่สามารถบังคับให้ออกจากระบบเมื่อปิดแอปพลิเคชัน

ฉันขอแนะนำมาตรการต่อไปนี้:

1. เปลี่ยนพอร์ตที่ใช้สำหรับการเชื่อมต่อเดสก์ท็อประยะไกล
2. อย่าใช้ชื่อผู้ใช้ทั่วไป แต่มีนโยบายการตั้งชื่อที่ซับซ้อนกว่า
3. ข้อกำหนดเกี่ยวกับรหัสผ่านสูง
4. ปิดพอร์ตที่ไม่ได้ใช้งานอื่น ๆ จากภายนอก (ขาเข้า)

ไม่จำเป็น

5. ใช้ VPN (CISCO, Open VPN ฯลฯ ) จากนั้นเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้ IP ภายใน
6. ใช้สมาร์ทการ์ดล็อกออนถ้าเป็นไปได้

คุณสามารถเรียกใช้WinSSHDบนพอร์ต 22 จากนั้นใช้ไคลเอ็นต์Tunnelierเพื่อสร้างอุโมงค์สำหรับคุณและเปิดเซสชันบริการเทอร์มินัลผ่านอุโมงค์โดยอัตโนมัติด้วยคลิกเดียว นอกจากนี้ยังให้ตัวเลือก FTP ที่ปลอดภัยและดีมากสำหรับการถ่ายโอนไฟล์

ฉันใช้การส่งต่อพอร์ต ssh สำหรับสิ่งเหล่านี้และอนุญาตเฉพาะระดับผู้ใช้การพิสูจน์ตัวตนโดยใช้รหัสสาธารณะ คีย์ส่วนตัวของผู้ใช้ทุกคนควรได้รับการเข้ารหัสเช่นกัน ใน Windows Putty ทำได้ดีมากและผู้เข้าประกวดทำให้ผู้ใช้โหลดกุญแจได้ง่าย หากคุณไม่เรียกใช้เซิร์ฟเวอร์ Linux / BSD ใด ๆ ที่มี ssh ตามค่าเริ่มต้นคุณสามารถใช้ OpenSSH ใน Cygwin เพื่อทำสิ่งนี้

ฉันแนะนำเซิร์ฟเวอร์เปลือกระยะไกลโดยเฉพาะที่มีไฟร์วอลล์ในพื้นที่ปิดกั้นสิ่งที่คุณไม่ต้องการให้ผู้ใช้เข้าสู่ระบบเนื่องจากการอนุญาตให้ส่งต่อพอร์ตใน SSH นั้นเป็นการเปิดเซิร์ฟเวอร์ / พอร์ตภายในให้กับผู้ใช้ที่คุณต้องการ

Bitvise SSH เป็น SSH ฟรีที่ดีสำหรับ Windows

ฉันจะเลิกใช้ SSL VPN ราคาถูกจากลูกค้าไปยังขอบเขตของเกตเวย์อินเทอร์เน็ตเพื่ออะไรมากกว่าการใช้งานทั่วไป (ตัวอย่างเช่น In-Confidence เชิงพาณิชย์)

โพสต์ด้านบนเกี่ยวกับการรักษาความปลอดภัย RDP ก็เป็นแนวปฏิบัติที่ดีและควรทำเสมอหากคุณไม่ต้องการแบ่งปันคอมพิวเตอร์ของคุณกับผู้ใช้งานอิสระ

ไม่ใช่วิธีปฏิบัติที่ดีที่สุด แต่เป็นความคิดแบบสุ่ม:

• ทำให้ระบบของคุณอัปเดตอยู่เสมอ - อนุญาตการอัปเดตอัตโนมัติไม่ใช้ผลิตภัณฑ์ที่หมดอายุ
• ใช้รหัสผ่านยาว / ซับซ้อนสำหรับบัญชีระบบทั้งหมด
• ฉันจะโดนดุที่นี่เพื่อแนะนำ 'ความปลอดภัยผ่านความสับสน' แต่มันจะไม่ทำอันตรายใด ๆ หากคุณ:
  • เปลี่ยนพอร์ต 3389 / tcp เริ่มต้นเป็นอย่างอื่นเช่น 26438 / tcp
  • เพิ่มการเคาะพอร์ต [ถ้าเป็นไปได้] ในระดับไฟร์วอลล์เพื่อให้ผู้ใช้ rdp ที่มีศักยภาพมีก่อนเข้าสู่หน้าเว็บบางหน้าและจากนั้นสามารถ rdp ไปยังเซิร์ฟเวอร์ของคุณ