我們目前在 Windows 防火牆中使用 IP 白名單,僅允許某些電腦存取我們伺服器上的遠端桌面。不幸的是,我現在有了一個新的 ISP,我的外部 IP 位址每週都開始變更。有沒有簡單的替代方法可以取代 Windows 防火牆中的 IP 白名單?
答案1
我強烈建議不要將您的伺服器直接放在網路上。如今,儘管 Windows 防火牆非常強大,但您卻面臨著電腦完整性以及可能與它有入站連接的任何內容的風險。 Nessus 和 Metasploit 等工具完全消除了漏洞識別和部署的複雜性。
我會考慮實施某種 SSL VPN 並透過它代理您的 RDP 流量。然後,SSL VPN 端點可以執行身份驗證/端點合規性檢查,甚至可能進行修復。
抱歉,這些天我無法添加評論,所以我必須在這裡標記我的評論:
即使是 HTTP(S) 流量,我也會建議某種第 3 方(非主機)防火牆。原因是,如果您的主機防火牆受到損害,您的伺服器也會受到損害。我必須承認,我習慣於存在安全預算的大型企業部署,因此我必須自己尋找 SOHO 風格的設備。
答案2
我同意上面西蒙的觀點。您可以研究的另一個選擇是電話因素。我相信最多 25 個用戶可以免費使用。
Agent運行在伺服器上,可以與Active Directory/LDAP/本機使用者進行後端認證;您只需配置一個電話號碼並選擇是否進行語音通話或短信,其他 PIN 碼是可選的。代理與登入程序相關聯,在使用者名稱和密碼身份驗證後,代理會致電 PhoneFactor 以啟動回調驗證程序;登入「掛起」並等待呼叫完成,我通常會在 15 秒後進入,所以從未遇到過超時問題。
將PIN 選項新增至您的使用者帳戶(在代理設定中)後,您實際上獲得了三因素身份驗證,因為將有兩個「您知道的事情」要求(如果您停用管理員帳戶並建立唯一的要求,則為4 個) admin 使用者(您自己):本機使用者密碼和 PhoneFactor PIN;第三個因素是“你擁有的東西”,即你的手機。
效果很好;將它用於我們的終端伺服器,因為我經常在出站 VPN 可能很麻煩的地方。
答案3
如果我正確地閱讀了問題,您需要從您的ISP 透過DHCP 分配到您的最終用戶帳戶(例如在家中或從蜂窩調製解調器)的不同IP 遠端管理盒子,並且您不可能嘗試將您的每個IP列入白名單您可能會透過防火牆連線?
我們遇到了同樣的問題,無法為具有相當可管理數量的伺服器的流動管理員定義固定IP,
- 建立遠端桌面邀請以分發給授權的遠端管理員。
- 將偵聽端口從 3389 修改為另一個非眾所周知的端口,但不一定是萬無一失的(在系統安全方面沒有什麼是萬無一失的)。根據伺服器的版本,我們必須修改伺服器註冊表中的端口http://support.microsoft.com/kb/187623
服務配置
notepad.exe %systemroot%\system32\drivers\etc\services
此方法使預先定義的巡迴管理員能夠在必要時前往遠端位置遠端管理其係統。