保護內部伺服器的 RDP
背景:目前,我們通過 IP KVM 管理我們的伺服器,但我們正在慢慢遷移到 VMWare ESXi。KVM 界面很笨重,使用者管理有點麻煩,如果可能的話,我想讓人們遠離 VIC 控制台。我們的網路不允許使用 RDP,因為所有流量都必須通過 VIC 或 KVM,它們具有來自內部 CA 的證書。
問題:我正在使用這種過渡來推動 RDP 用於伺服器的內部管理。我想為 RDP 辯護,但安全性(即使這些伺服器不面向 Internet)仍然是一個問題。我看過 TS Gateway,但它似乎是用於 Internet 到遠端伺服器,而不是從內部客戶端到內部伺服器。我知道這非常廣泛,請隨時要求澄清,但在內部伺服器上安全實施 RDP 的最佳方法是什麼。
與任何技術一樣 - 限制您的表面積。 不要讓普通的簡 RDP 向世界開放。需要 VPN 或來自受信任供應商(web-ssl 網關等)的某種其他類型的直通身份驗證。
供內部使用——標準密碼管理策略應在適當的位置配置鎖定。將 RDP 配置為使用最高級別的安全性(強制 RDP 通過 GPO 使用 128 位加密)。RDP至少與 VIC 或大多數 KVM 一樣安全。每天有數百萬人使用 Citrix 或終端服務。VIC 和 KVM 根本沒有這麼多已安裝的設備,或者試圖利用它們的人。 鑑於兩種相互競爭的成熟技術,沒有已知的漏洞利用,我認為一種具有許多數量級的安裝基礎比具有有限安裝基礎的技術更安全,後者通常隱藏在具有專有的單一供應商工具的專用網路中。
對於外部客戶端,如果您想要該級別的安全性,我會考慮使用帶有客戶端證書身份驗證的第 3 方安全 SSLVPN 網關。
如果您真的不信任 RDP,但確實信任,比如說 SSH……有一個名為WiSSH的商業 RDP over SSH 應用程序可以實現兩因素身份驗證以及兩個獨立的安全層。
自 2000 年以來,RDP 一直是每個 Windows XP Professional 和 Windows Server 安裝的選項。它是 Windows Server的遠端訪問管理工具,在過去 9 年中發現的漏洞很少。甚至WindowsSecurity.com的建議列表在其複雜性方面也很平庸,並且反映了任何其他管理系統的最佳實踐。