我有用户想要使用远程桌面远程访问他们的工作站。 我使用RADIUS连接的VPN服务器,但是我记得连接和断开连接,而不是通过VPN发送networkingstream量。
我怀疑他们会这样做,因为以前的IT顾问离开他们RDP打开,甚至没有build议更改密码,如1234,密码和{插入子/宠物名称}。 现在,他们必须使用R2所附带的密码策略,所以我知道在这方面我们更加安全。
所以最重要的问题是让7和XP Remote远离互联网是多么危险?
如果你的密码长度和复杂度都很高,那么RDP就是encryption的,所以它大部分是安全的。 我个人不会这样做,宁愿在工作站上使用诸如思科VPN客户端之类的东西,然后使用VPN连接到工作站,而不是将其打开到webbertubes。 RDP可能容易受到MITM攻击,你可能会得到机器人和扫描,将探测他们。
如果用不正确的密码尝试了三次,我还会设置您的策略来locking帐户,以防止/尽量减less暴力攻击。
总结:这可能足够安全,但这是不好的做法,应该避免。
编辑:有蠕虫攻击RDP,所以你要在执行你的政策,要记住这一点。 即,Morto。
我通常不推荐直接通过互联网使用RDP,如果仅仅是因为使用VPN给你一个额外的authentication层(以及可能容易地集成硬件令牌)。 RDP协议包含encryptionfunction,如果您使用的是最新版本的RDP客户端,则需要对远程服务器进行身份validation(以及可能通过Kerberos进行相互身份validation – “networking级身份validation”或Microsoft术语中的NLA)。
RDP的主要问题不是协议,而是powershell密码尝试的问题。 希望边缘防火墙能够限制新的连接尝试。 有一些基于主机的解决scheme阻止IP地址采取反复的蛮力连接尝试,但这只是一个手指在堤防。 良好的密码策略是有帮助的,但是你永远不能确定你的用户没有在你的控制之外的某个地方使用相同的密码(第三方网站是“拥有”等)。 在RDP密码之上添加VPN身份validation提供了一种腰带式和吊带式的方法。
我所听到的用VPN表示的“con”与直接的RDP相关的是与VPN客户端提供的到局域网的IP级连接。 对此,我只是说在DMZ终止你的VPN,并限制进出VPN的stream量。 这不是通过Internet使用RDP而不是正确的VPN的有效参数。
带有NLA的RDP协议,以及更高级别的安全性从某人的拦截是相当安全的。 RDP的问题在于,你基本上有一些开放的东西可能会被用来暴露你的networking。
如果您select启用该function,则设置相当严酷的帐户locking将非常重要。 build立一个良好的IPS / IDS,并确保你login访问。
如果这是你需要允许的,而不需要在客户端上进行额外的软件configuration,我build议你至less考虑build立一个terminal服务网关。 这将允许您控制,监视和限制RDP。
离开RDP开放互联网从来就不是一个好主意。 来自其他国家的小人物将不断在你的服务器/域上暴力破解帐户。 这将locking帐户,最终可能导致闯入。 强制他们连接VPN和隧道RDPstream量会更好。
*编辑:我应该是公平的…侵入你的小人不总是从其他国家。 😉