Ограничьте компьютеры, которые могут удаленный рабочий стол на сервере

7150
stirredo

У меня есть компьютер с Windows Server 2003, доступ к которому осуществляется через подключение к удаленному рабочему столу . Чтобы получить доступ к серверу, вам нужно знать только IP-адрес компьютера.

Я хочу ограничить компьютеры, которые могут получить доступ к серверу Windows, только авторизованными компьютерами. У авторизованных компьютеров не будет статических IP-адресов, поэтому я не могу ограничить их на основе IP-адреса. Могу ли я ограничить их на основе MAC-адреса, возможно? Я не против использования сторонних решений, как TeamViewer или LogMeIn и т.д.

Как я могу решить эту проблему?

1
Изменение порта RDP на нечто отличное от обычного 3389 также поможет повысить безопасность (если только вы не используете стороннее программное обеспечение). http://goo.gl/QdLdE Kez 13 лет назад 0
если проблема решена, почему бы вам не опубликовать это как ответ на свой вопрос, а затем принять ее; таким образом, будущие посетители смогут легче находить результаты, а ваш вопрос может быть официально помечен как завершенный. DMA57361 13 лет назад 1
@ DMA57361 - Готово stirredo 13 лет назад 0
Чудесно, спасибо за то, что содержали сайт в чистоте. Есть два +1! DMA57361 13 лет назад 0

4 ответа на вопрос

1
Dave

Почти во всех случаях вы получите аутентификацию сертификата User + Group [и | или] вместо управления запрашивающей машиной. Чтобы уточнить, что упомянуто в cmbrnt: LogMeIn, это все еще механизм аутентификации на основе пользователя, и вы не указываете, какие клиентские компьютеры могут предпринимать попытки подключения.

Вы устанавливаете программное обеспечение LogMeIn на хосте, которым хотите управлять, а затем входите на веб-сайт LogMeIn (аутентификация пользователя), чтобы попытаться подключиться к этому хосту из любой точки мира. После чего вы снова будете аутентифицироваться на этом компьютере (или домене).

Поэтому LogMeIn является более безопасным, чем просто пробить дыру в RDP, поскольку у вас нет открытых служб и вы дважды проводите аутентификацию, когда оба соединения (клиент <-> LogMeIn <-> хост) находятся над защищенными соединениями. Есть даже третий вариант «пароль хоста», который вы можете использовать, если хотите, IIRC.

Я полагаю, что LogMeIn ТАКЖЕ имеет фильтрацию, откуда поступают попытки подключения, но они будут по IP-адресу, который, как вы сказали, не работает.

1
stirredo

Я нашел возможное решение в TeamViewer . TeamViewer создает уникальный идентификатор партнера для компьютера, на котором он установлен. У него есть возможность разрешить доступ к компьютеру только авторизованным идентификаторам партнеров. Задача решена.

0
cmbrnt

Logmein может сделать это для вас, так что вы вроде как ответили на свой вопрос. По сути, вы устанавливаете клиент на своем сервере и входите в систему для входа в систему через этого клиента, что ограничивает компьютеры, к которым вы можете получить к нему доступ, поскольку вам понадобится ваш безопасный пароль. Это требует, чтобы вы доверяли logmein, но я вполне уверен, что вы можете сделать это.

Я не знаю способа сделать это с помощью обычного RDP, за исключением настройки расширенного межсетевого экрана, который может устанавливать правила на основе MAC-адреса. Для этого потребуется, чтобы компьютер, с которого вы подключаетесь, находился на том же коммутаторе, что и сервер, поскольку MAC-адрес источника удаляется из TCP / IP-пакетов при прохождении через маршрутизатор.

0
Joel Coehoorn

Обычно с RDP вы делаете это для каждого пользователя, а не для каждого компьютера. При настройке сервера для разрешения подключений к удаленному рабочему столу по умолчанию только группа администраторов на этом компьютере может получить к нему доступ. Вы должны специально добавить любых дополнительных пользователей или групп, которые вы хотите разрешить.

Похожие вопросы