我的第一个问题,所以请温柔:)
我有一个客户坚持说他们必须让他们的第三方供应商通过RDP直接从互联网上访问那里的服务器。
我们的政策不允许直接从数据中心以外的基础设施进行pipe理,除非经过批准的VPN连接,然后是虚拟桌面到服务器。
我现在处于这样的情况,我必须给出充分的理由,为什么在公共互联网上使用RDP是危险的。
任何帮助,将不胜感激
提前致谢
斯图尔特
不要忘记,侵入服务器的入侵者也可以用它作为攻击防火墙后面的其他客户设施的跳板。 因此,安全风险并不完全限于第一客户的资产。
从供应商那里得到一些理由,说明为什么他们不能使用VPN。 如果真的没有其他方法可以直接连接到服务器,那么他们需要通过这个连接来承担任何安全漏洞。 请记住,供应商刚刚承认他们的应用程序体系结构存在安全漏洞,指出应用程序中存在某些可能导致无法使用VPN的情况。
使访问权有条件签署协议,保证您免受因RDP连接导致的安全漏洞所造成的任何损害。 此外,您应该要求他们获得适当的专业赔偿或责任保险,或提供覆盖此情况的条款的现有保障certificate。
简而言之,让供应商certificate他们有能力支付任何损害赔偿,并以合同义务为条件。
大多数人在直接从互联网上获得RDP方面存在问题的时候,都有一些特别的担心,即入侵者直接查询你的目录/ SAM进行authentication。 没有适当的审计,这往往不被注意。 一旦他们成功获得了一对login对,他们就可以不受限制地访问您的环境。 微软对此的回应是以TS-Gateway的forms出现在Windows 2008上的。 TS-Gateway服务创build的隧道点与build立SSL VPN隧道不完全相同。 当TS-Gateway服务仍然共享相同的目录或SAM进行身份validation时,会提供一组单独的授权规则,这些授权规则以前不存在。 用户和计算机级别的规则都可以设置为控制一旦通过TS-Gatewayvalidation就可以使用哪些资源。 因此,1您不必为所有内部服务器设置外部DNS名称映射,2您可以将特定用户(用户组)限制到特定系统。
我也做了TS-Gateway访问用户与那些有权访问内部服务器的用户分开的帐户。 在TS-Gateway帐户上密码过期和locking的情况要高得多。 这为那些偏执的直接通过授权提供了一个更多的层次。 对于具有DMZ系统作为内部成员的具体商业政策的团体来说,这也很有效。
TS-Gateway迄今为止最大的问题(与其他人一样)是缺less对初始网关连接的双因素authentication选项的支持。 第二大问题是缺lessTS-Gateway的客户端支持。
但是,假设您的外部供应商同意使用符合6.1的RDP客户端,并且在设置正确的TS-Gateway服务器时需要谨慎,那么应该没有什么理由说明请求应该构成威胁。
即使RDP被configuration为使用encryption,您仍然可以直接访问您的服务器。 如果你有一个防火墙,只允许你的供应商的IP连接到RDP端口,那么它可能是好的,但是如果你把它从任何IP打开的话,如果RDP上每天都有安全问题的话,这是很危险的。
我build议使用VPN网关(如思科ASA),并使用WEB SSL VPN访问。 Web门户允许将端口转发到远程服务器,或者甚至可以在门户上运行RDP小程序(directx或java)。 此解决scheme更安全,并且在供应商计算机上未安装任何vpn客户端的情况下工作。 它只需要一个支持SSL和Java或DirectX的浏览器
我知道这个问题已经得到解答,但是如果您需要解决这个问题,这里有一些指导。 首先,如果您有select,请考虑使用TS网关。 在这个知识库文章中的信息:
远程桌面连接(terminal服务客户端6.0)
另一个select是使用防火墙映射端口,以便它不是TCP / 3389,一个众所周知的端口。 您希望避免将被典型扫描命中的众所周知的端口。
如何更改远程桌面的侦听端口
我听说Windows 2008 R2有一项新技术叫做“Direct Access”,它本质上是一个基于SSL的VPN构build到操作系统,我认为它需要Windows 2008 R2和Windows 7作为客户端,但它是另一个选项,而且可能比投资F5或思科等其他解决scheme要便宜。
技术概述
至于你至less使用RDP 6.0,我没有看到它的坏处。 我的一些TS服务器可以从互联网公开访问,但只允许6.0以上的安全性(在XP上也是TLS)。