我正在考虑提供远程访问我工作的一些应用程序。
我们打算在Server 2003上使用terminal服务,读完之后,似乎要encryption所有通过RDP的stream量。
即使RDPstream量是encryption的,许多人build议只能通过VPN运行。
由于我对TS有点新鲜,所以我想知道为什么人们推荐两个安全级别,为什么在互联网上使用裸机是不明智的。
有几个供应商坚持能够将RDPjoin到他们pipe理的服务器中。 由于其中一个是我们的主要财务箱,这使我感到不舒服极了,但没有任何办法 – 我们需要给他们一个远程桌面,或者他们不会对服务器做任何事情。
我们遇到的妥协是让我根据需要给他们RDP,但是在几分钟的时间内通知他们; 他们打电话给我们,我们运行一个脚本,打开相关的防火墙端口,他们做任何需要的然后再打电话给我们,我们运行另一个closures端口的脚本。
所以是的,只用RDP就可以做到这一点,不过如果你愿意的话,我build议:
1)只有在需要时暴露服务,而不是24/7。
2)locking允许连接的地址范围(尽可能实际可行)。
3)将pipe理员帐户重命名为“pipe理员”以外的东西,并给它一个强大的密码。
正如你所说的那样,它已经被encryption了,我所看到的唯一的问题是移动它所运行的端口而不诉诸于registry改动是一种痛苦。 有些人通过默默无闻的方式来批评安全,但这确实有助于挫败一些探索和脚本。 99%的时间只是直接运行webbertubes应该没问题。
VPN具有不会在您的防火墙规则中插入漏洞的优点。 它增加了一些开销,因为你正在处理encryption的链接加上VPN的encryption,但不多。 您还需要VPN客户端在您连接的任何端点上,这取决于您的客户端可能有点麻烦,而使用RDP只需要一个通用的RDP客户端。
大多数情况下,我认为最重要的是你是否愿意在防火墙上打开一个端口,或者你宁愿支持VPN连接和/或客户端,为你的用户带来多大的痛苦(如果你是使用在笔记本电脑或家庭系统上需要的漫游用户,从而支持软件VPN客户端和培训)。
即使您信任RDPencryption(是否已经由外部专家validation?),不使用VPN意味着您有一个重要的Windows服务器端口可用于networking。 任何新的远程攻击(每个月都有几个新攻击)都会让你感到脆弱。
使用VPN意味着唯一的开放端口是由许多独立专家彻底检查安全的,使得远程攻击极为罕见。 即使有一个攻击你,在一个VPN上更换一个VPN也是相对容易的,不会影响configuration和最终的可用性。
VPN可能是矫枉过正的,你也可以在脚本中使用ssh端口(来自Putty的plink很棒)。 我使用VNC为RDC服务(这是一个苹果机房)设置了它。
使用没有密钥和限制内部SSH服务器上的用户将工作。 这限制了networking的复杂性,并且保护内部networking不受损害的客户端系统。
这在经济上是可能的,因为terminal服务更容易发生漏洞。 没有端口在防火墙上打开,然后
我已经和几家不同的公司一起使用了RDP,而且几乎没有任何连接和/或安全问题。 当然,我们的公司已经有点小了,所以安全并不是什么大问题(不是我的电话)。
一个VPN肯定会让事情变得更安全一些,但是如果你不能使用RDP而不是使用自己的路由器,那应该没关系。
这里有几个链接,提供了一些额外的安全指导方针 –
Windowsterminal服务
RDP安全指南
如果您打算使用最好的configuration服务器/路由器只接受来自您的源IP地址的3389通信量。
作为VPN /无VPN之间的折衷,你可以看看Hamachi的 “个人VPN”选项。 我以前用过它,取得了合理的成功。 在TS和客户端上安装客户端。 从TS(passworded)创build一个Hamachinetworking,然后让所有客户端join同一个networking。
然后,客户端将RDP发送到TS的5.xxx地址。