Wir verwenden derzeit eine IP-Whitelist in der Windows-Firewall, um nur bestimmten Computern den Zugriff auf den Remotedesktop auf unseren Servern zu ermöglichen. Leider habe ich jetzt einen neuen ISP und meine externe IP-Adresse ändert sich jede Woche. Gibt es eine einfache Alternative, die ich anstelle der IP-Whitelist in der Windows-Firewall verwenden kann?
Antwort1
Ich würde Ihnen dringend empfehlen, Ihren Server nicht direkt mit dem Internet zu verbinden. So gut die Windows-Firewall heutzutage auch ist, Sie riskieren die Integrität des Computers und möglicherweise aller Geräte, mit denen er eine eingehende Verbindung hat. Tools wie Nessus und Metasploit haben die Komplexität der Exploit-Identifizierung und -Bereitstellung vollständig beseitigt.
Ich würde in Erwägung ziehen, eine Art SSL-VPN zu implementieren und Ihren RDP-Verkehr darüber zu leiten. Der SSL-VPN-Endpunkt kann dann Authentifizierungs-/Endpunkt-Compliance-Prüfungen und möglicherweise sogar Korrekturen durchführen.
Entschuldigung, ich kann in diesen Tagen keine Kommentare hinzufügen, daher muss ich meinen Kommentar hier markieren:
Sogar für Ihren HTTP(S)-Verkehr würde ich eine Art Firewall eines Drittanbieters (nicht des Hosts) empfehlen. Der Grund dafür ist, dass Ihr Server gefährdet ist, wenn Ihre Host-Firewall kompromittiert wird. Ich muss zugeben, dass ich an größere Unternehmensbereitstellungen gewöhnt bin, bei denen Sicherheitsbudgets vorhanden sind, sodass ich mich selbst nach Geräten im SOHO-Stil umsehen müsste.
Antwort2
Ich stimme Simon oben zu. Eine weitere Option, die Sie in Betracht ziehen können, istTelefonfaktor. Ich glaube, es ist für bis zu 25 Benutzer kostenlos.
Der Agent läuft auf dem Server und kann mit Active Directory/LDAP/lokalen Benutzern für die Back-End-Authentifizierung arbeiten. Sie müssen nur eine Telefonnummer konfigurieren und auswählen, ob Sie einen Sprachanruf oder eine SMS-Nachricht erhalten möchten. Eine zusätzliche PIN ist optional. Der Agent wird in den Anmeldevorgang eingebunden und ruft nach der Authentifizierung mit Benutzername und Kennwort bei PhoneFactor an, um den Rückrufüberprüfungsprozess einzuleiten. Die Anmeldung „hängt“ und wartet, bis der Anruf abgeschlossen ist. Normalerweise bin ich nach 15 Sekunden dabei, hatte also noch nie ein Problem mit einem Timeout.
Mit der PIN-Option, die Ihrem Benutzerkonto hinzugefügt wird (in den Agenteneinstellungen), erhalten Sie im Wesentlichen eine Drei-Faktor-Authentifizierung, da es zwei Anforderungen gibt, die Sie „etwas wissen müssen“ (also 4, wenn Sie das Administratorkonto deaktivieren und einen eindeutigen Administratorbenutzer für sich selbst erstellen): das lokale Benutzerkennwort und die PhoneFactor-PIN. Der dritte Faktor wäre „etwas, das Sie haben“, also Ihr Mobiltelefon.
Funktioniert großartig; verwende es für unseren Terminalserver, da ich mich oft an Orten befinde, an denen ausgehendes VPN problematisch sein kann.
Antwort3
Wenn ich die Frage richtig verstehe, müssen Sie Boxen von verschiedenen IP-Adressen, die Ihr ISP Ihrem Endbenutzerkonto per DHCP zuweist, z. B. zu Hause oder von einem Mobilfunkmodem aus fernverwalten, und Sie können unmöglich versuchen, jede IP-Adresse in Ihrer Firewall, von der aus Sie möglicherweise eine Verbindung herstellen, auf die Whitelist zu setzen?
Wir hatten das gleiche Problem und konnten keine festen IPs für mobile Administratoren mit einer relativ überschaubaren Anzahl von Servern definieren.
- Erstellte Remotedesktop-Einladungen zur Verteilung an die autorisierten Remoteadministratoren.
- Der Abhörport wurde von 3389 auf einen anderen, aber nicht unbedingt narrensicheren Port geändert (nichts ist narrensicher in der Systemsicherheit) und auf einen anderen, nicht bekannten Port. Basierend auf der Serverversion mussten wir den Port in der Serverregistrierung ändern.http://support.microsoft.com/kb/187623
Dienstekonfiguration
notepad.exe %systemroot%\system32\drivers\etc\services
Mit dieser Methode konnten vordefinierte mobile Administratoren an entfernte Standorte reisen, um deren Systeme im Bedarfsfall aus der Ferne zu verwalten.