鉴于最近的一些蠕虫,我正在寻找进一步限制我面向公众的Win2k3服务器访问terminal服务的方法。 防火墙IP地址限制是不是一个选项,因为真正的客户端都在dynamic地址。
看起来最可能的select是在服务器上设置IPSec VPNfunction。 这看起来会涉及到一些摆弄,所以我想我会检查是否有其他人有这样的经验,IPSec是否是最简单和最轻的方法?
在VPN解决scheme之外,这是最好的解决scheme。
过去我曾经有客户坚持最好的安全可能没有钱,大声笑,似乎redicules呃。
无论如何,除了非常强大的密码外,更改terminal服务器侦听的端口号。 每个人都知道端口3389是terminal服务器,所以把它改成一些模糊的东西,然后你可以在他们的防火墙上closures这个端口并打开新的端口,使其在9000端口范围内变得更高,这样在简单的过程中就不会被扫描从networking外部进行端口扫描。
看看build立一个“terminal服务网关”,或者我认为服务器2008R2称之为远程桌面网关。 您设置了一个面向IIS服务器的Internet,最好在防火墙的DMZ中充当网关。 客户端通过HTTPS安全地联系服务器,并使用由受信任的公共证书颁发机构签名的证书进行安全保护。 此服务器可以依次检查允许连接的策略服务器,甚至可以执行运行状况检查以确定允许哪种types的RDP会话,然后将RDPpipe理到真正的目标服务器。 你可能有一个策略,只说域计算机,或带有你导出的证书的机器被允许连接。
仅供参考,这个解决scheme需要时间,精力和可能的一点钱,但是它非常有用。 与6个月前的Microsoft的Mac OSX RDP客户端不兼容。