背景:目前,我们通过IP KVMpipe理我们的服务器,但是我们正在悄悄迁移到VMWare ESXi。 KVM接口笨重,用户pipe理有点麻烦,如果可能的话,我想让人远离VIC控制台。 RDP在我们的networking上是不允许的,因为所有的stream量必须通过具有来自内部CA的证书的VIC或KVM。
问题:我正在使用这个转换来推进RDP服务器的内部pipe理。 我想为RDP做一些事情,但是安全性(尽pipe这些服务器不是面向Internet的)仍然是一个问题。 我已经看了TS网关,但似乎是互联网到远程服务器,而不是从内部客户端到内部服务器。 我知道这是相当广泛的,请随时澄清,但是什么是在内部服务器上安全地实施RDP的最佳方式。
与任何技术一样 – 限制您的表面积。 不要把简单的垃圾邮件发送给世界。 需要一个VPN,或从一个可信赖的供应商(web-ssl网关等)的其他types的传递身份validation。
对于内部使用 – 标准的密码pipe理策略应该configurationlocking的configuration。 configurationRDP使用最高级别的安全性(强制RDP通过GPO使用128位encryption)。 RDP与VIC或大多数KVM一样安全。 每天有数百万人使用思杰或terminal服务。 VIC和KVM根本没有这个数量的安装设备,或者试图利用它们的人。 鉴于两种相互竞争的成熟技术,没有已知的漏洞,我认为安装基地的安装基础比安装基础有限的安装基地更加安全,通常使用专有的单一供应商工具将其包含在专用networking中。
对于外部客户端,我会考虑使用客户端证书身份validation的第三方安全SSLVPN网关,如果您需要这种安全级别的话。
如果你真的不信任RDP,但要信任,比如说SSH …在SSH应用程序上有一个名为WiSSH的商业RDP,它可以实现双因素身份validation以及两个单独的安全层。
自2000年以来,RDP一直是Windows XP Professional和Windows Server安装的一个选项。它是Windows Server 的远程访问pipe理工具,在过去的9年中,漏洞很less。 即使是WindowsSecurity.com的build议清单也是平淡无奇的,并且反映了其他任何pipe理系统的最佳实践。
大部分提到,但我想我会澄清一些事情。 自从Windows 2003的至less一个服务包以来,NLA已被支持(使用不同的名称)RDP。以“高安全性”configuration运行RDP,再加上通过TLS运行RDP对大多数替代远程pipe理解决scheme可用于Windows。 我一直通过TLS保护我的RDP会话多年,XP客户端肯定支持通过TLS连接RDP多年。
我还使用TS-Gateway作为进一步在办公室networking和内部服务器networking之间安全访问的一种方式。 它通常需要两个networking之间的防火墙/路由规则,但是如果您希望进一步保护您的环境以添加额外的身份validation要求和隧道入口点,则TS-Gateway仍然非常有用。 但是与TLS不同的是,从客户angular度来看,TS-Gateway支持非常有限。
至于使用RDP本身,你几乎受到客户端和服务器支持的限制,只有几个版本。 使用Win2008,Windows 7,Vista(显然也是XP SP3),networking级authentication提高了RDP的安全性,但是作为就像保护协议本身一样,唯一的select是在客户端和服务器上都要求NLA。
跨越RDP本身,您可以使用您的networking架构来限制访问您的服务器。 把你的服务器放在他们自己的子网中,把你的pipe理员电脑放在另一个子网中,然后把普通的用户放在另一个。 只允许pipe理子网通过防火墙/路由器上的RDP访问服务器子网,并允许常规用户子网仅在所需端口(或除RDP外的所有内容)上访问服务器子网。 将服务器放在单独的子网中以限制客户端和服务器之间的广播串扰是个不错的主意。