No momento, estamos usando uma lista de permissões de IP no Firewall do Windows para permitir que apenas determinadas máquinas acessem a Área de Trabalho Remota em nossos servidores. Infelizmente, agora tenho um novo ISP e meu endereço IP externo começou a mudar toda semana. Existe uma alternativa fácil que posso usar em vez da lista de permissões de IP no Firewall do Windows?
Responder1
Eu recomendaria seriamente não colocar seu servidor diretamente na Internet. Por melhor que seja o Firewall do Windows hoje em dia, você está arriscando a integridade da máquina e, potencialmente, de qualquer coisa com a qual ela tenha conexão de entrada. Ferramentas como Nessus e Metasploit removeram completamente a complexidade da identificação e implantação de exploits.
Eu consideraria implementar algum tipo de VPN SSL e fazer proxy do tráfego RDP por meio dele. O endpoint SSL VPN pode então realizar verificações de autenticação/conformidade do endpoint e possivelmente até mesmo remediação.
Desculpas, não posso adicionar comentários atualmente, então terei que marcar meu comentário aqui:
Mesmo para o tráfego HTTP(S), recomendo algum tipo de firewall de terceiros (não host). A razão é que, se o firewall do seu host for comprometido, o mesmo acontecerá com o seu servidor. Devo admitir que estou acostumado com implantações empresariais maiores, onde existem orçamentos de segurança, então teria que procurar dispositivos estilo SOHO.
Responder2
Eu concordo com Simon acima. Outra opção que você pode analisar éFator de telefone. É gratuito para até 25 usuários, acredito.
O agente é executado no servidor, pode trabalhar com usuários do Active Directory/LDAP/locais para autenticação de back-end; você só precisa configurar um número de telefone e escolher se deseja receber uma chamada de voz ou mensagem SMS, o PIN adicional é opcional. O agente se conecta ao processo de logon e, após a autenticação do nome de usuário e da senha, o agente liga para casa, para o PhoneFactor, para iniciar o processo de verificação de retorno de chamada; o logon "trava" e aguarda a conclusão da chamada e geralmente chego depois de 15 segundos, então nunca tive problemas com o tempo limite.
Com a opção PIN adicionada à sua conta de usuário (nas configurações do agente), você basicamente obtém autenticação de três fatores, pois haveria dois requisitos de "algo que você sabe" (bem, 4 se você desabilitar a conta de administrador e criar um único usuário administrador para você): a senha do usuário local e o PIN do PhoneFactor; o terceiro fator seria “algo que você tem”, que é o seu celular.
Funciona bem; use-o para nosso Terminal Server, pois estou frequentemente em lugares onde a VPN de saída pode ser problemática.
Responder3
Se estou lendo a pergunta corretamente, você precisa administrar remotamente caixas de vários IPs que seu ISP atribui via DHCP para sua conta de usuário final, como em casa ou de um modem celular, e você não pode tentar colocar todos os IP na lista de permissões do seu firewall do qual você pode estar se conectando?
Tivemos o mesmo problema e não conseguimos definir IPs fixos para administradores itinerantes com um número bastante gerenciável de servidores.
- Criou convites de área de trabalho remota para distribuição aos administradores remotos autorizados.
- Modificou a porta de escuta de 3389 para apenas outra, mas não necessariamente infalível (nada é infalível na segurança de sistemas) para uma porta diferente e não conhecida. Com base na versão do servidor, tivemos que modificar a porta no registro dos servidoreshttp://support.microsoft.com/kb/187623
Configuração de serviços
notepad.exe %systemroot%\system32\drivers\etc\services
O método permitiu que administradores itinerantes predefinidos que viajavam para locais remotos administrassem remotamente seus sistemas em momentos de necessidade.