現在、Windows ファイアウォールの IP ホワイトリストを使用して、特定のマシンのみがサーバー上のリモート デスクトップにアクセスできるようにしています。残念ながら、現在は新しい ISP を使用しているため、外部 IP アドレスが毎週変更されるようになりました。Windows ファイアウォールの IP ホワイトリストの代わりに使用できる簡単な代替手段はありますか?
答え1
サーバーを直接インターネットに接続しないことを強くお勧めします。最近の Windows ファイアウォールは優れていますが、マシンの整合性が損なわれるリスクがあり、受信接続の対象となるものも危険にさらされる可能性があります。Nessus や Metasploit などのツールにより、エクスプロイトの識別と展開の複雑さは完全に解消されました。
何らかの SSL VPN を実装し、それを介して RDP トラフィックをプロキシすることを検討します。SSL VPN エンドポイントは、認証 / エンドポイント コンプライアンス チェックを実行し、場合によっては修復も実行できます。
申し訳ありませんが、最近はコメントを追加できないので、ここにコメントにタグを付ける必要があります。
HTTP(S) トラフィックの場合でも、何らかのサードパーティ (非ホスト) ファイアウォールをお勧めします。ホスト ファイアウォールが侵害されると、サーバーも侵害されるからです。私は、セキュリティ予算が存在する大規模なエンタープライズ展開に慣れているので、SOHO スタイルのデバイスを自分で探す必要があることを認めなければなりません。
答え2
私は上記のサイモンに同意します。検討できる別の選択肢は電話ファクター25 ユーザーまでは無料だと思います。
エージェントはサーバー上で実行され、バックエンド認証のために Active Directory/LDAP/ローカル ユーザーと連携できます。電話番号を設定し、音声通話または SMS メッセージのどちらを使用するかを選択するだけで済みます。追加の PIN はオプションです。エージェントはログオン プロセスに結び付けられ、ユーザー名とパスワードの認証後、エージェントは PhoneFactor に電話をかけてコールバック検証プロセスを開始します。ログオンは「ハング」し、通話が完了するまで待機します。通常は 15 秒後にログインするので、タイムアウトの問題は発生していません。
ユーザー アカウントに PIN オプションを追加すると (エージェント設定で)、ローカル ユーザー パスワードと PhoneFactor PIN という 2 つの「知っていること」の要件 (管理者アカウントを無効にして自分専用の管理者ユーザーを作成した場合は 4 つ) が必要になるため、実質的に 3 要素認証が実現します。3 つ目の要素は「持っているもの」、つまり携帯電話になります。
とてもうまく機能します。アウトバウンド VPN が問題になる場所にいることが多いため、ターミナル サーバーに使用しています。
答え3
質問を正しく理解していれば、自宅や携帯電話モデムなど、ISP がエンド ユーザー アカウントに DHCP 経由で割り当てるさまざまな IP からボックスをリモート管理する必要があり、接続元となる可能性のあるファイアウォールですべての IP をホワイトリストに登録することはできないということですか?
私たちも同じ問題を抱えており、管理可能な数のサーバーを持つ移動管理者に固定IPを定義できませんでした。
- 承認されたリモート管理者に配布するためのリモート デスクトップ招待状を作成しました。
- リスニングポートを3389から別の非既知のポートに変更しました。これは、必ずしも絶対確実なものではありませんが(システムセキュリティでは絶対確実なものはありません)、サーバーのバージョンに基づいて、サーバーのレジストリでポートを変更する必要がありました。マイクロソフトサポートサイト
サービス構成
notepad.exe %systemroot%\system32\drivers\etc\services
この方法により、事前に定義された移動管理者が遠隔地に移動し、必要なときにシステムをリモートで管理できるようになりました。