Ich möchte meinen Remotedesktop-Server (Terminaldienste) für den Zugriff von außerhalb unseres Netzwerks verfügbar machen. Derzeit kann nur von unserem Netzwerk aus darauf zugegriffen werden.
Ich weiß, dass es einfach genug ist, die Firewall zu öffnen und den Port weiterzuleiten.
Wie kann ich die Maschine selbst sichern und welche Best Practices gibt es dafür? Mein Anliegen ist es, dass Hacker daran arbeiten können, in das System einzudringen.
Best Practice-Richtlinien / -Empfehlungen sind sehr willkommen.
Bearbeiten:
Frage zu einem Produkt, das ich gefunden habe:
Filtern Sie eingehende RDP-Verbindungen nach IP, MAC-Adresse, Computernamen und mehr
Kann jemand die Sicherheit dazu kommentieren? Sieht so aus, als könnte ich damit auch den Zugriff nach Computername / Mac einschränken? Hat es noch jemand benutzt?
quelle
Antworten:
Dies ist möglicherweise mehr als das, was Sie tun möchten, aber so verwenden wir RDP für Remotebenutzer, die kein VPN verwenden.
Wir haben vor kurzem begonnen, den RD-Gateway-Manager mit Remotedesktopdiensten zu verwenden, eine Rolle in Windows 2008. Wir haben das Setup so eingerichtet, dass es über unseren TMG-Server direkt zu einem Benutzercomputer geleitet wird. Es verwendet NLA wie oben erwähnt. Der Benutzer, der eine Verbindung herstellt, muss Mitglied der richtigen AD-Gruppe und Mitglied der richtigen lokalen Gruppe sein, um Zugriff zu erhalten. Abhängig davon, wie Sie es einrichten möchten, können Sie eine Verbindung über eine Webseite herstellen, die im Allgemeinen mstsc öffnet und die Proxy-Einstellungen für das RD-Gateway eingibt, oder Sie können die Einstellungen auf Ihrem Computer manuell so festlegen, dass es bei jedem Öffnen versucht, zu wechseln über diesen Proxy. Bisher hat es ganz gut geklappt und scheint sicher zu sein.
quelle
Wie die jüngste Geschichte gezeigt hat, birgt das Aufdecken des Protokolls Risiken. Sie können jedoch einige Schritte ausführen, um das System zu schützen:
Administrator
oder im Idealfall andere Konten mit hohen Berechtigungen.quelle
Ich empfehle dringend, den Remotedesktop-Gateway-Dienst zu verwenden. Sie erhalten einen Ort, an dem Sie Richtlinien erzwingen können, wer von wo aus eine Verbindung zu was herstellen kann. Hier können Sie gut protokollieren, sodass Sie sehen können, wer versucht, sich anzumelden, ohne die Ereignisprotokolle der einzelnen Server in Ihrer Farm zu überprüfen.
Wenn Sie es noch nicht getan haben, stellen Sie sicher, dass Ihre Kontosperrungsrichtlinien ziemlich streng sind. RDP auch mit NLA und einem Gateway geben Menschen etwas, um zu versuchen, brutale Passwörter zu erzwingen. Eine strenge Aussperrungspolitik erschwert den Erfolg von Brute-Force-Versuchen erheblich.
Richten Sie gültige SSL-Zertifikate auf den Systemen ein, damit der Client die Endbenutzer benachrichtigt, wenn jemand versucht, eine Art MITM-Angriff durchzuführen.
quelle
Dies ist nicht sehr sicher, es gibt jedoch einige Möglichkeiten, die Sicherheit zu stärken.
Internetzugriff von diesem Server aus nicht zulassen. Viele der schwerwiegenderen Malware-Angriffe versuchen, auf ihren Befehls- und Steuerungsserver zurückzugreifen, wenn sie Ihr System gefährdet. Wenn Sie eine Firewall-Zugriffsregel so konfigurieren, dass der ausgehende Zugriff standardmäßig nicht zulässig ist, und eine Regel, die den ausgehenden Zugriff nur auf interne / bekannte Netzwerke und RFC 1928-Subnetze zulässt, kann das Risiko verringert werden.
Verwenden Sie Smartcards oder eine andere Art der Zwei-Faktor-Authentifizierung. Dies ist in der Regel teuer und findet sich hauptsächlich in großen Unternehmen. Allerdings verbessern sich die Optionen (PhoneFactor fällt ein). Beachten Sie, dass Smartcards als Option für die Konfiguration auf Kontoebene pro Server erforderlich sind.
Konfigurieren Sie ein Umkreisnetzwerk, platzieren Sie den Remotedesktopserver im Umkreis und verwenden Sie ein kostengünstiges VPN, um den Zugriff bereitzustellen. Ein Beispiel wäre Hamachi. Beachten Sie, dass das Deaktivieren des Internetzugriffs über ein Umkreisnetzwerk ebenfalls eine gute Vorgehensweise ist.
Stellen Sie nach Möglichkeit keinen vollständigen Desktop zur Verfügung, sondern veröffentlichen Sie die benötigten Anwendungen. Wenn jemand nur Zugriff auf eine einzelne Anwendung benötigt, kann auch ein "Startprogramm" konfiguriert werden, bei dem es sich um eine einfache Wrapper-Shell handeln kann, die beim Schließen der Anwendung eine Abmeldung erzwingen kann.
quelle
Ich würde folgende Maßnahmen vorschlagen:
Optional
quelle
Sie können WinSSHD auf Port 22 ausführen und dann mit dem Tunnelier- Client einen Tunnel für Sie erstellen und mit EINEM Mausklick automatisch eine Terminaldienstesitzung durch den Tunnel öffnen. Dies gibt Ihnen auch eine sehr schöne sichere FTP-Option zum Übertragen von Dateien.
quelle
Ich verwende ssh port forwarding für diese Dinge und erlaube nur die Authentifizierung mit öffentlichen Schlüsseln auf Benutzerebene. Alle privaten Schlüssel des Benutzers sollten ebenfalls verschlüsselt werden. Unter Windows funktioniert Putty gut, und mit pageant können Benutzer ihren Schlüssel problemlos laden. Wenn Sie keine Linux / BSD-Server ausführen, die standardmäßig über ssh verfügen, können Sie OpenSSH in Cygwin verwenden, um dies zu tun.
Ich empfehle einen dedizierten Remote-Shell-Server mit einer lokalen Firewall, die Dinge blockiert, an denen keine Remotezugriffe durchgeführt werden sollen, da das Zulassen der Portweiterleitung in SSH im Grunde jeden internen Server / Port für die gewünschten Benutzer öffnet.
quelle
Bitvise SSH ist eine gute kostenlose SSH für Windows.
Ich würde mich für eine kostengünstige SSL-VPN-Terminierung vom Client zum Internet-Gateway entscheiden, die nicht nur für den gelegentlichen Gebrauch gedacht ist (z. B. Commercial In-Confidence).
Die obigen Beiträge zum Sichern von RDP sind ebenfalls eine gute Praxis und sollten immer gemacht werden, wenn Sie Ihre Computer nicht für Freeloader freigeben möchten.
quelle
Nicht wirklich die beste Vorgehensweise, aber einige zufällige Gedanken:
quelle