Làm thế nào để bảo mật máy chủ Remote Desktop phải đối mặt?

Tôi đang tìm cách để lộ Máy chủ Máy tính Từ xa (Dịch vụ Đầu cuối) của tôi được truy cập từ bên ngoài mạng của chúng tôi. Ngay bây giờ, nó chỉ có thể được truy cập từ bên trong mạng của chúng tôi.

Tôi biết nó đủ dễ để mở tường lửa và chuyển tiếp cổng.

Tuy nhiên, làm cách nào để bảo mật máy và cách thực hành tốt nhất xung quanh vấn đề này? Mối quan tâm của tôi là tin tặc có thể làm việc để đột nhập vào nó.

Bất kỳ hướng dẫn thực hành tốt nhất / khuyến nghị sẽ được nhiều đánh giá cao.

Biên tập:

Câu hỏi về một sản phẩm tôi tìm thấy:

Bộ lọc Kết nối RDP đến bằng IP, Địa chỉ MAC, Tên máy tính và hơn thế nữa

Bất cứ ai có thể nhận xét về bảo mật của điều này? Có vẻ như tôi cũng có thể sử dụng nó để giới hạn quyền truy cập theo tên máy / mac? Bất cứ ai khác sử dụng nó?

Điều này có thể nhiều hơn những gì bạn đang muốn làm, nhưng đây là cách chúng tôi sử dụng RDP cho người dùng từ xa không sử dụng VPN.

Gần đây, chúng tôi đã bắt đầu sử dụng Trình quản lý cổng RD với Dịch vụ máy tính từ xa, một vai trò trong Windows 2008. Chúng tôi đã thiết lập nó để đi qua máy chủ TMG của chúng tôi và trực tiếp đến máy người dùng. Nó sử dụng NLA như đã đề cập ở trên. Người dùng kết nối phải là thành viên của nhóm AD bên phải và là thành viên của nhóm địa phương phù hợp để được phép truy cập. Tùy thuộc vào cách bạn muốn thiết lập, bạn có thể kết nối qua một trang web mở cơ bản mstsc và nhập cài đặt proxy cho Cổng RD hoặc bạn có thể đặt cài đặt trên máy theo cách thủ công để mỗi lần bạn mở, nó sẽ cố gắng đi thông qua proxy đó. Cho đến nay nó đã hoạt động khá tốt và dường như được an toàn.

Như lịch sử gần đây đã cho chúng ta thấy, có những rủi ro cố hữu khi phơi bày giao thức. Nhưng, có một số bước bạn có thể thực hiện để bảo vệ hệ thống:

• Thực thi xác thực cấp độ mạng.
• Thực thi mã hóa kết nối.
• Hạn chế người dùng được phép đăng nhập trên Dịch vụ đầu cuối ở mức tối thiểu và không cho phép các tài khoản "đặc biệt" như Administratortài khoản miền mặc định hoặc lý tưởng nhất là bất kỳ tài khoản đặc quyền cao nào khác.
• Đảm bảo mật khẩu mạnh trên các tài khoản được phép đăng nhập. Phụ thuộc vào số lượng người dùng và cách chính sách của bạn hiện tại, nhưng bỏ băm và cố gắng bẻ khóa chúng, tăng giới hạn về độ dài mật khẩu hoặc đơn giản là giáo dục người dùng phương pháp tốt.

Tôi thực sự khuyên bạn nên sử dụng dịch vụ cổng Remote Desktop. Nó cung cấp cho bạn một nơi mà bạn có thể thực thi các chính sách về người có thể kết nối với những gì từ đâu. Nó cung cấp cho bạn một nơi tốt để đăng nhập, vì vậy bạn có thể biết ai đang cố đăng nhập mà không kiểm tra nhật ký sự kiện của các máy chủ riêng lẻ trong trang trại của bạn.

Nếu bạn chưa thực hiện xong, hãy đảm bảo các chính sách khóa tài khoản của bạn được đặt khá mạnh. RDP ngay cả với NLA và một cổng cung cấp cho mọi người một cái gì đó để cố gắng cưỡng bức mật khẩu. Một chính sách khóa mạnh mẽ làm cho rất khó để các nỗ lực vũ phu thành công.

Thiết lập chứng chỉ SSL hợp lệ trên các hệ thống, vì vậy khách hàng sẽ thông báo cho người dùng cuối nếu ai đó đang cố thực hiện một số loại tấn công MITM.

Điều này không an toàn lắm, dù sao đi nữa, có một vài cách để tăng cường an ninh.

Không cho phép truy cập Internet từ máy chủ đó. Nhiều phần mềm độc hại nghiêm trọng hơn cố gắng liên lạc trở lại máy chủ chỉ huy và kiểm soát của chúng khi nó xâm phạm hệ thống của bạn. Định cấu hình quy tắc truy cập tường lửa để không cho phép truy cập ra bên ngoài theo mặc định và quy tắc chỉ cho phép truy cập ra bên ngoài vào các mạng nội bộ / đã biết và mạng con RFC 1928 có thể giảm thiểu rủi ro.

Sử dụng thẻ thông minh hoặc một số loại xác thực hai yếu tố khác. Điều này thường tốn kém và được tìm thấy chủ yếu trong các tổ chức lớn, tuy nhiên các tùy chọn đang được cải thiện (PhoneFactor xuất hiện trong tâm trí). Lưu ý rằng yêu cầu thẻ thông minh có thể được thực hiện trên mỗi máy chủ, như một tùy chọn để định cấu hình thẻ ở cấp tài khoản.

Định cấu hình mạng vành đai, đặt máy chủ máy tính để bàn từ xa theo chu vi và sử dụng VPN không tốn kém để cung cấp quyền truy cập. Một ví dụ sẽ là Hamachi. Lưu ý rằng việc không cho phép truy cập Internet từ mạng vành đai cũng là một cách làm tốt.

Nếu có thể, không cung cấp một máy tính để bàn đầy đủ, nhưng xuất bản các ứng dụng mà họ cần. Nếu ai đó chỉ cần truy cập vào một ứng dụng, thì cũng có thể định cấu hình "chương trình ban đầu", đây có thể là trình bao bọc đơn giản có thể thực thi đăng xuất khi đóng ứng dụng.

Tôi muốn đề xuất các biện pháp sau:

1. Thay đổi cổng được sử dụng cho kết nối máy tính từ xa
2. Không sử dụng tên người dùng chung nhưng chính sách đặt tên phức tạp hơn
3. Yêu cầu mật khẩu cao
4. Đóng bất kỳ cổng không sử dụng nào khác từ bên ngoài (trong nước)

Không bắt buộc

5. Sử dụng VPN (CISCO, Open VPN, v.v.) sau đó kết nối với máy chủ bằng IP nội bộ.
6. Sử dụng đăng nhập thẻ thông minh nếu có thể

Bạn có thể chạy WinSSHD trên cổng 22 và sau đó sử dụng ứng dụng khách Tunnelier để tạo đường hầm cho bạn và tự động mở phiên dịch vụ Terminal thông qua đường hầm chỉ với MỘT lần nhấp. Điều này cũng cung cấp cho bạn một tùy chọn FTP an toàn rất tốt cũng như để truyền tệp.

Tôi sử dụng chuyển tiếp cổng ssh cho những điều này và chỉ cho phép cấp độ người dùng, xác thực dựa trên khóa chung. Tất cả người dùng khóa riêng cũng nên được mã hóa. Trên Windows Putty làm tốt điều này và cuộc thi giúp người dùng dễ dàng tải khóa của họ. Nếu bạn không chạy bất kỳ máy chủ Linux / BSD nào có ssh theo mặc định, bạn có thể sử dụng OpenSSH trong Cygwin để làm điều này.

Tôi khuyên dùng máy chủ shell từ xa chuyên dụng có tường lửa cục bộ chặn những thứ bạn không muốn mọi người từ xa truy cập, vì cho phép chuyển tiếp cổng trong SSH về cơ bản là mở bất kỳ máy chủ / cổng nội bộ nào cho người dùng bạn muốn.

Bitvise SSH là một SSH miễn phí tốt cho Windows.

Tôi muốn chấm dứt SSL VPN giá rẻ từ khách hàng đến chu vi cổng Internet cho bất kỳ điều gì hơn là sử dụng thông thường (ví dụ: Tự tin thương mại).

Các bài viết trên về bảo mật RDP cũng là một cách thực hành tốt và phải luôn luôn được thực hiện nếu bạn không muốn chia sẻ máy tính của mình với các nhà cung cấp dịch vụ tự do.

không thực sự tốt nhất nhưng một số suy nghĩ ngẫu nhiên:

• giữ cho hệ thống của bạn được cập nhật - cho phép cập nhật tự động, không sử dụng các sản phẩm đã hết tuổi thọ,
• sử dụng mật khẩu dài / phức tạp cho tất cả các tài khoản hệ thống
• Tôi sẽ bị mắng ở đây vì đã đề xuất 'bảo mật thông qua che khuất' nhưng nó sẽ không gây hại gì cho bạn nếu bạn:
  • thay đổi cổng mặc định 3389 / tcp thành một cái gì đó khác như 26438 / tcp
  • thêm cổng gõ [nếu có thể] ở cấp độ tường lửa để người dùng ndp tiềm năng trước tiên truy cập vào một số trang web và chỉ sau đó mới có thể truy cập vào máy chủ của bạn.