我们有一个运行terminal服务器的Windows Server 2008标准盒,我们的团队成员通过我们的路由器(Linksys RV042)中的防火墙规则从非networking位置连接到terminal服务器。 出于安全原因,我们已将默认的TS端口改为未使用的高端端口号。
我们希望添加一个额外的安全层,这将是一个与terminal服务器无关的用户名/密码挑战,与用户的login凭证无关。 我不确定这是甚么可能的。
我想在这里做的就像在wordpress安装的wp-admin目录中通过一个htaccess文件添加一个Apache密码挑战,它有自己的login名。 所以第一个authentication机制是通过一个不运行第二个authentication机制的服务。
任何想法,我们可以做到这一点?
您的防火墙是否支持基于服务,规则或应用程序(RDP)对用户进行身份validation?
另外,如何更改服务器上的RDP端口使其更安全? 任何人扫描您的networking范围的侦听端口只会find新的端口,而不是find默认端口。
你有没有考虑Server 2008terminal服务网关? 这将改善用于保护连接的encryption,并为您提供更好的RDP控制。
http://technet.microsoft.com/en-us/library/cc731264%28WS.10%29.aspx
您可以使terminal服务器在自己的域中拥有自己的域控制器。 让主域信任TS域。 让TS用户对TS域进行authentication。 将TS域用户添加到所需的任何安全组。 这样,如果您的TS被攻破,您的主要域pipe理员不会受到影响,至less不一定。
VPN也是您可能要添加的附加安全层。
Linksys RV042路由器似乎支持VPN的终止。 为什么不简单地要求你的客户先build立一个VPN到路由器呢?
如果在路由器上设置VPN不是一个选项,请在networking上设置另一台可以终止VPN的服务器。 这听起来像你并不需要一个完整的VPN,即使是一个简单的SSH隧道可能就足够了。
您可以做的最好的办法是在每台服务器上启用networking级别身份validation(NLA),这需要用户在连接之前input用户名/密码,并且可以通过GPO进行configuration 。
要达到您所追求的效果,可能有办法在login后操作由Active Directory提供给他们的特定用户的Kerberos票据的到期时间。如果没有,您可以创build一个单独/特殊的用户帐户它的密码是由脚本定期更改的; 那么你可以要求用户“login”到一个小的Web应用程序的地方,给他们最新的密码,当需要的时候。