正如你可能都知道的那样,RDP for Windows中不断出现新的安全漏洞。 我已经search了这个问题,并可能修复/解决scheme。
我感到惊讶的是,没有人提到,限制在Windows防火墙的IP范围作为一个可能的修复(以便只有你的IP可以连接到机器)。 我想这是因为,由于某种原因,这不是一个好的解决scheme(我不是专家)。
所以我的问题是,这个解决scheme有什么问题?
部分原因,你没有看到这个build议作为一个潜在的修复,这不是一个修复,只是一个解决方法。 通过设置一个IP块,您可以将范围限制在与VPN服务器提供的范围类似的范围,从而允许具有正确凭据的任何人连接到该范围。 它限制了这个漏洞的范围,但是并没有缓解这个漏洞。
失败模式是,一个受信任的IP将会感染一些带有RDP漏洞扫描器的恶意软件,然后你就进入了比赛。
但是,限制服务的IP范围极大地减less了这个问题的出现! 还是一个好主意。
没有,在适当的情况下。 我们一直为客户服务。
如果你没有意识到(或者忘记)你已经有了IP地址限制,并且你的最后一个(或者只有)RDP可访问的IP地址发生了变化,那么问题就来了 – 突然你被locking了,你可以不修复它(因为你被locking了)。
我们通过在所有客户服务器上增加我们的员工VPN范围(这是RFC1918,因此不可能被强制重新编号)到允许的IP范围,解决了工作中的问题,所以如果客户被locking,他们总是可以打电话给我们得到改变的限制。 我们还可以通过远程控制台访问所有内容(通过VM主机控制台或iDRAC,具体取决于它是虚拟机还是物理机,只能通过带外后门networking才能访问,并拥有自己的,冗余的一组VPN-介导访问限制)。
但是,如果没有获得(重新)访问的带外机制,IP地址限制始终存在完全locking自己的风险(并且根据您的情况,可能无法挽回)。
没有。 如果您打开RDP到互联网,这是一个很好的解决scheme。 另一个最好的做法是把面向互联网的一面移到不同的端口(3389除外)。
我能想到的唯一原因是人们懒得在防火墙中维护一个可能改变的IP限制范围。
RDP与任何其他协议一样安全 – 只要其pipe理正确。
没有,这已经是Windows的最佳做法,因为Windows 2000看到这篇文章的参考如何设置不同级别的隔离http://technet.microsoft.com/en-us/network/bb545651