我们正在开发在Windows Server 2008上运行的产品。该产品被安装到使用Server 2008的专用硬件(我们拥有或至less是服务)上运行的客户环境中。我们认为这是一个“设备”,尽pipe它基本上是一套运行Server 2008的X高端机器。无论如何,我们需要在客户环境中远程pipe理这些服务器,并且正在寻找最简单的安全pipe理方式。
VPN是显而易见的解决scheme,但是因为每个客户都实现了自己的VPNselect,所以我们很难支持(我们需要在这里远程安装许多不同的VPN软件设置)。 另一种select是让客户打开RDPstream量的端口,这样我们就可以远程访问我们的服务器。 但是这当然是有风险的(即使我们select一个非标准的端口),而客户IT人员真的不喜欢这样做。
所以最近我正在阅读关于TS网关(现在在R2的RD网关)。 我想知道这可能是我们的完美解决scheme。 如果我们在客户站点的一台服务器上设置这个服务器,然后让它们直接打开端口443到服务器,这是否会成为我们将RDP安装到客户端所有服务器的安全机制? 似乎他们的IT人员可能更容易接受这一点。
请注意,我们在客户环境中的2008服务器没有join域,它们是一个简单的工作组。
思考? 我错过了什么吗? 那里有更好的解决scheme吗?
所以TS-Gateway实际上和RDP在TLS和RDP协议上的安全性是不一样的(在这个线程中已经提到了这两种安全性),它对协议stream也有类似的保护作用,因为它使用SSL来保护stream量(1024,2048)证书和决定你想要的安全性)这个特定主题的主要区别在于你执行了多less内部外部翻译以及多less内部networking暴露在外部,TS-Gateway并没有像更好的方式来保证stream量的安全,但是为了满足许多人需要确保很像SSH桥接或SSL VPN端点的需要,您可以轻松地从外部连接到内部networking。TS-Gateway旨在允许您可以build立到您的边界的安全连接,并从这一点再次控制授权到您的内部networking资源TS-网关提供了对哪些人(一旦validation d到网关)可以连接到边界内的哪些系统。 这意味着创build一个缓冲区,防止使用RDP协议作为向量对您的内部系统进行直接攻击。 根据您的描述,TS-Gateway服务旨在帮助解决这一特定需求。
我不确定TS Gateway如何设置RDP的风险更小。 事实上,它可能会更危险,因为它还没有上市。
另一个select是在服务器上设置SSH,然后在您的RDP会话中使用SSL隧道。 如果使用SSH身份validation密钥,则会增加一层安全性。
你可以添加的另一层安全性是设置类似RSA SecureID,但我不确定这是否会在您的设置成本高昂。