В настоящее время мы используем белый список IP-адресов в брандмауэре Windows, чтобы разрешить доступ к удаленному рабочему столу на наших серверах только определенным машинам. К сожалению, у меня теперь новый провайдер, и мой внешний IP-адрес начал меняться каждую неделю. Есть ли простая альтернатива, которую я могу использовать вместо белого списка IP-адресов в брандмауэре Windows?
решение1
Я бы настоятельно рекомендовал не размещать ваш сервер напрямую в Интернете. Как бы хорош ни был брандмауэр Windows в наши дни, вы рискуете целостностью машины и потенциально всего, к чему она имеет входящее подключение. Такие инструменты, как Nessus и Metasploit, полностью устранили сложность идентификации и развертывания эксплойтов.
Я бы рассмотрел реализацию какого-то SSL VPN и проксирование вашего RDP-трафика через него. Конечная точка SSL VPN затем может выполнять проверку подлинности/соответствия конечной точки и, возможно, даже исправление.
Извините, в эти дни я не могу добавлять комментарии, поэтому мне придется отметить свой комментарий здесь:
Даже для вашего HTTP(S) трафика я бы рекомендовал какой-нибудь сторонний (не хостовый) брандмауэр. Причина в том, что если ваш хостовый брандмауэр будет скомпрометирован, то же самое произойдет и с вашим сервером. Должен признать, я привык к более крупным корпоративным развертываниям, где существуют бюджеты безопасности, поэтому мне пришлось бы самому поискать устройства в стиле SOHO.
решение2
Я согласен с Саймоном выше. Другой вариант, который вы можете рассмотреть, этоPhoneFactor. Я полагаю, что это бесплатно для 25 пользователей.
Агент работает на сервере, может работать с Active Directory/LDAP/локальными пользователями для внутренней аутентификации; вам просто нужно настроить номер телефона и выбрать, будет ли голосовой вызов или SMS-сообщение, дополнительный PIN-код необязателен. Агент подключается к процессу входа в систему, и после аутентификации имени пользователя и пароля агент звонит домой в PhoneFactor, чтобы инициировать процесс проверки обратного вызова; вход в систему «зависает» и ждет завершения вызова, и я обычно вхожу через 15 секунд, поэтому у меня никогда не было проблем с его тайм-аутом.
При добавлении опции PIN-кода в вашу учетную запись пользователя (в настройках агента) вы по сути получаете трехфакторную аутентификацию, поскольку будет два требования «чего-то, что вы знаете» (точнее, четыре, если вы отключите учетную запись администратора и создадите для себя уникального пользователя-администратора): пароль локального пользователя и PIN-код PhoneFactor; третьим фактором будет «что-то, что у вас есть», то есть ваш мобильный телефон.
Работает отлично; использую его для нашего терминального сервера, так как я часто бываю в местах, где исходящий VPN может быть проблематичным.
решение3
Если я правильно понял вопрос, вам нужно удаленно администрировать ящики с разных IP-адресов, которые ваш интернет-провайдер назначает через DHCP вашей учетной записи конечного пользователя, например, из дома или с сотового модема, и вы не можете попытаться внести в белый список каждый IP-адрес на своем брандмауэре, с которого вы подключаетесь?
У нас была та же проблема: мы не смогли определить фиксированные IP-адреса для мобильных администраторов с достаточно управляемым количеством серверов.
- Созданы приглашения к удаленному рабочему столу для рассылки уполномоченным удаленным администраторам.
- Изменили порт прослушивания с 3389 на другой, но не обязательно защищенный от дурака (ничто не защищено от дурака в безопасности систем) на другой неизвестный порт. Исходя из версии сервера, нам пришлось изменить порт в реестре сервераhttp://support.microsoft.com/kb/187623
Конфигурация служб
notepad.exe %systemroot%\system32\drivers\etc\services
Этот метод позволил заранее определенным администраторам, которые выезжали в удаленные места, удаленно администрировать свои системы в моменты необходимости.