Security

保護對 Windows Server 2008 R2 的 RDP 訪問:網路級身份驗證是否足夠?

  • December 9, 2011

我是一個幾乎沒有管理專業知識的開發人員,遠端管理一個專用的 Web 伺服器。

最近對我們網站的獨立安全審計建議“RDP 不暴露於 Internet,並且考慮使用強大的管理解決方案(如 VPN)進行遠端訪問。使用時,應為伺服器身份驗證配置 RDP,以確保客戶端不能被受到中間人攻擊。”

閱讀了一下,似乎網路級身份驗證是一件好事,所以我今天在伺服器上啟用了“僅允許來自具有 NLA 的遠端桌面的連接”選項。

這個行動是否足以減輕中間人攻擊的風險?還是我應該採取其他重要步驟?如果 VPN 是必不可少的,我該怎麼做?

你真的不應該RDP 向世界開放,即使啟用了 NLA。NLA 確實減少了 MITM 攻擊,但如果您使用預設的自簽名證書進行 RDP 訪問,那麼您就不太安全了。

您不想讓 RDP 向世界開放的主要原因之一是防止自動密碼破解嘗試。如果您從面向 Internet 的界面中刪除 RDP,您就可以完全緩解隨機的自動暴力攻擊。強烈建議使用 VPN 之類的東西來進行遠端訪問,這既有用又有用。

您可以通過多種方式實現 VPN。例如,Windows 有一個內置的 IPSEC VPN。如果您想使用 SSL VPN 路由,OpenVPN Access Server 最多可供兩個並髮使用者免費使用。

如果您需要關於如何設置 VPN 的非常具體的說明,那麼您需要研究選項、選擇一種技術、閱讀文件,然後針對您實施它時遇到的任何疑慮或問題提出一個新問題。僅僅問“我如何實現 VPN”對於伺服器故障來說太寬泛了。

引用自:https://serverfault.com/questions/333750