Halka açık Uzak Masaüstü Sunucusu nasıl güvenli hale getirilir?

Ağımın dışından erişilmek üzere Uzak Masaüstü Sunucumu (Terminal Hizmetleri) açığa çıkarmaya ihtiyacım var. Şu anda yalnızca ağımızdan erişilebilir.

Güvenlik duvarını açıp bağlantı noktasını iletmenin yeterince kolay olduğunu biliyorum.

Ancak, makinenin kendisini nasıl güvence altına alabilirim ve bununla ilgili en iyi uygulamalar nelerdir? Benim endişem, bilgisayar korsanlarının zorla girmeye çalışabilmeleri.

En iyi uygulama yönergeleri / önerileri çok takdir edilecektir.

Düzenle:

Bulduğum bir ürün hakkında soru:

Gelen RDP Bağlantılarını IP, MAC Adresi, Bilgisayar Adı ve Daha Fazlasına Göre Filtreleyin

Herkes bunun güvenliği hakkında yorum yapabilir mi? Görünüşe göre makine adı / mac ile erişimi sınırlamak için de kullanabilir miyim? Başka kimse kullandı mı?

Bu, yapmak istediğinizden daha fazlası olabilir, ancak VPN kullanmayan uzak kullanıcılar için RDP'yi nasıl kullanıyoruz.

Kısa bir süre önce RD Ağ Geçidi Yöneticisi'ni Windows 2008'de rol alan Uzak Masaüstü Hizmetleri ile kullanmaya başladık. TMG sunucumuzu ve doğrudan bir kullanıcı makinesini kullanacak şekilde ayarladık. Yukarıda belirtildiği gibi NLA kullanır. Bağlanan kullanıcının doğru AD grubunun üyesi ve erişime izin verilecek doğru yerel grubun üyesi olması gerekir. Nasıl kurulmasını istediğinize bağlı olarak, temel olarak mstsc'yi açan ve RD Ağ Geçidi için proxy ayarını giren bir web sayfası üzerinden bağlanabilir veya makinenizi her açışınızda gitmeye çalışacak şekilde ayarları elle yapabilirsiniz. bu vekil aracılığıyla. Şimdiye kadar oldukça iyi çalıştı ve güvenli görünüyor.

Yakın tarihin bize gösterdiği gibi , protokolü ortaya çıkarmanın doğasında var olan riskler var. Ancak, sistemi korumak için atabileceğiniz bazı adımlar vardır:

• Ağ Düzeyinde Kimlik Doğrulamasını Zorla.
• Bağlantı şifrelemesini zorunlu kılın.
• Terminal Hizmetleri üzerinden oturum açmasına izin verilen kullanıcıları mutlak minimum değerle sınırlayın ve varsayılan etki alanı Administratorhesabı gibi "özel" hesaplara veya ideal olarak diğer yüksek ayrıcalıklı hesaplara izin vermeyin .
• Şifrelerin oturum açmasına izin verilen hesaplarda güçlü olduğundan emin olun. Şu anda kaç kullanıcıya ve politikalarınızın nasıl göründüğüne bağlı, ancak karmaları boşaltmak ve onları kırmaya çalışmak, şifre uzunluğu sınırlarını yükseltmek veya sadece kullanıcıları eğitmek iyi yaklaşımlar.

Uzak Masaüstü ağ geçidi hizmetini kullanmanızı kesinlikle öneririm. Size kimin nereden neyle bağlantı kurabileceği ile ilgili politikaları uygulayabileceğiniz bir yer verir. Günlüğe kaydetme için iyi bir yer sağlar, böylece çiftliğinizdeki ayrı sunucuların olay günlüklerini denetlemeden kimlerin giriş yapmaya çalıştığını görebilirsiniz.

Henüz yapmadıysanız, hesap kilitleme politikalarınızın oldukça güçlü olduğundan emin olun. NLA ve ağ geçidi ile bile RDP, insanlara kaba zorlama şifreleri denemek için bir şeyler verir. Güçlü bir kilitleme politikası, kaba kuvvet girişimlerinin başarılı olmasını büyük ölçüde zorlaştırmaktadır.

Sistemlerde geçerli SSL sertifikaları ayarlayın, böylece birisi bir tür MITM saldırısı gerçekleştirmeye çalışıyorsa istemci son kullanıcıları bilgilendirecektir.

Bu çok güvenli değil, ancak, güvenliği güçlendirmenin birkaç yolu var.

Bu sunucudan İnternet erişimine izin verme. Daha ciddi kötü amaçlı yazılımların çoğu, sisteminizi tehlikeye attığında komut ve kontrol sunucularıyla iletişim kurmaya çalışır. Güvenlik duvarı erişim kuralını varsayılan olarak giden erişimine izin vermeyecek şekilde yapılandırmak ve yalnızca dahili / bilinen ağlara ve RFC 1928 alt ağlarına giden erişime izin vermek için bir kural riski azaltabilir.

Akıllı kartlar veya başka bir tür iki faktörlü kimlik doğrulama kullanın. Bu genellikle pahalıdır ve ağırlıklı olarak büyük kuruluşlarda bulunur, ancak seçenekler gelişmektedir (PhoneFactor akla gelmektedir). Hesap düzeyinde yapılandırmak için bir seçenek olarak, sunucu başına akıllı kartlar gerekebileceğini unutmayın.

Bir çevre ağı yapılandırın, uzak masaüstü sunucusunu çevreye yerleştirin ve erişimi sağlamak için ucuz bir VPN kullanın. Örnek olarak Hamachi verilebilir. İnternet erişiminin bir çevre ağından izin verilmemesinin de iyi bir uygulama olduğunu unutmayın.

Mümkünse, tam bir masaüstü sağlayın, ancak ihtiyaç duydukları uygulamaları yayınlayın. Birisinin yalnızca tek bir uygulamaya erişmesi gerekiyorsa, uygulama kapatıldığında oturum kapatmayı zorlayabilen basit bir sarıcı kabuk olabilecek bir "başlangıç ​​programı" yapılandırmak da mümkündür.

Aşağıdaki önlemleri öneririm:

1. Uzak masaüstü bağlantısı için kullanılan bağlantı noktasını değiştirme
2. Genel kullanıcı adları kullanmayın, ancak daha karmaşık bir adlandırma politikası kullanın
3. Yüksek şifre gereksinimleri
4. Kullanılmayan diğer bağlantı noktalarını dışarıdan kapatın (gelen)

İsteğe bağlı

5. Bir VPN (CISCO, Open VPN vb.) Kullanın ve ardından dahili IP kullanarak sunucuya bağlanın.
6. Mümkünse akıllı kart oturum açma özelliğini kullanın

WinSSHD'yi 22 numaralı bağlantı noktasında çalıştırabilir ve ardından Tunnelier istemcisini kullanarak sizin için bir tünel oluşturabilir ve bir tıklamayla tünelden otomatik olarak bir Terminal hizmetleri oturumu açabilirsiniz. Bu aynı zamanda dosyaları aktarmak için de çok güzel bir güvenli FTP seçeneği sunar.

Bu şeyler için ssh port yönlendirme kullanıyorum ve sadece kullanıcı düzeyinde, ortak anahtar tabanlı kimlik doğrulamasına izin veriyorum. Tüm kullanıcıların özel anahtarları da şifrelenmelidir. Windows'ta Putty bunu iyi yapıyor ve sayfalandırma, kullanıcıların anahtarlarını yüklemelerini kolaylaştırıyor. Varsayılan olarak ssh olan herhangi bir Linux / BSD sunucusu çalıştırmıyorsanız, bunu yapmak için Cygwin'de OpenSSH kullanabilirsiniz.

SSH'de bağlantı noktası yönlendirmeye izin vermek temelde istediğiniz kullanıcılara herhangi bir dahili sunucu / bağlantı noktası açtığından, kullanıcıların uzak durmasını istemediğiniz şeyleri engelleyen yerel bir güvenlik duvarına sahip özel bir uzak kabuk sunucusu öneriyorum.

Bitvise SSH, Windows için iyi bir ücretsiz SSH'dir.

Sıradan kullanımdan başka bir şey için istemciden İnternet ağ geçidi çevresine ucuz bir SSL VPN sonlandırması için giderim (örneğin Ticari In-Güven).

RDP'nin güvenliğini sağlama hakkındaki yukarıdaki gönderiler de iyi bir uygulamadır ve bilgisayarlarınızı serbest yükleyicilerle paylaşmak istemiyorsanız her zaman yapılmalıdır.

gerçekten en iyi uygulama değil, bazı rastgele düşünceler:

• sisteminizi güncel tutun - otomatik güncellemelere izin verin, kullanım ömrü dolmuş ürünleri kullanmayın,
• tüm sistem hesapları için uzun / karmaşık şifreler kullanın
• burada 'müstehcenlik yoluyla güvenlik' önerdiği için azarlanırım ama eğer size herhangi bir zarar vermez:
  • varsayılan 3389 / tcp bağlantı noktasını 26438 / tcp gibi başka bir şeyle değiştirin
  • eklemek liman-vurma potansiyel rdp kullanıcı sunucuya rdp olabilir ancak o zaman bazı web sayfasını ziyaret eden ilk sahiptir ve böylece [mümkünse] duvarı düzeyde.