Повышение безопасности для компьютера с удаленным рабочим столом - использовать 2FA и / или ограничить только подключение к локальной сети?

1748
sam

Я смотрю на настройку удаленного рабочего стола Windows на компьютере W10 Pro.

Я хотел бы повысить безопасность соединения и задаться вопросом, возможно ли одно из следующего:

  • Пароль, отличный от имени пользователя, используемого для входа при физическом использовании аппарата. Таким образом, он может использовать случайную сгенерированную строку, которую я мог бы ввести один раз с компьютера с исходящим звонком.

  • Двухфакторная аутентификация.

  • Ограничьте все входящие подключения к машинам только в одной локальной сети.

Там будет 3 компьютера, которые будут подключаться к хосту, в основном Mac.

Возможно ли / все это, и есть ли другие вещи, на которые я должен обратить внимание?

7
Вы просто подключаетесь к этому через локальную локальную сеть или через общедоступный Интернет? Twisty Impersonator 6 лет назад 0
@TwistyImpersonator это будет через локальную сеть, хотя в VPN будет установлен набор sam 6 лет назад 0
Сколько компьютеров требует удаленного доступа к этому хосту? Меняются ли IP-адреса подключающегося компьютера? Twisty Impersonator 6 лет назад 0
@TwistyImpersonator, это будет 3 компьютера, которые будут подключаться к хосту, я мог бы дать входящим 3 компьютерам Mac привязки IP к маршрутизатору, чтобы они не изменились. Вы думаете, что по всей линии аутентификации на основе IP это дополнительный элемент безопасности? sam 6 лет назад 0
да, или, как минимум, настройте брандмауэр на хосте, чтобы разрешить подключения к порту 3389 только с этих 3 машин. IPSec был бы гораздо более надежным, но и более сложным в настройке. Twisty Impersonator 6 лет назад 0
@TwistyImpersonator тоже плохо попробует, но что остановит «злоумышленника», который назначит им набор статических IP-адресов в диапазоне сети и попытается подключиться, используя их? (очевидно, им все равно нужно будет иметь правильный пароль) sam 6 лет назад 0
IPSec может использовать сертификаты, которые проверяют подлинность компьютеров. Даже если злоумышленник подключается с правильного IP-адреса, без сертификата соединение не может быть установлено. Twisty Impersonator 6 лет назад 1
Сколько времени и денег вы хотите вложить в это? Если вы много делаете для обеспечения безопасности входа в систему и соединений между хостом и компьютерами, вам также следует обратить внимание на лицо атаки для подключающихся компьютеров и, возможно, на множество других вещей. Безопасность - это баланс между удобством, рисками и ресурсами. PatrikN 6 лет назад 0

3 ответа на вопрос

4
harrymc

В статье Защита удаленного рабочего стола (RDP) для системных администраторов перечислены следующие советы:

  • Используйте надежные пароли
  • Обновите ваше программное обеспечение
  • Ограничить доступ с помощью брандмауэров
  • Включить проверку подлинности на уровне сети (по умолчанию включено для Windows 10)
  • Ограничить пользователей, которые могут войти в систему с помощью удаленного рабочего стола (по умолчанию все администраторы)
  • Установить политику блокировки учетной записи (заблокировать учетную запись после нескольких неправильных предположений)
  • Изменить порт прослушивания для удаленного рабочего стола (по умолчанию TCP 3389)
  • Не используйте другие продукты, такие как VNC или PCAnywhere

На ваш вопрос о двухфакторной аутентификации я не верю, что она существует в Windows 10 Pro, только в Windows Server.

В статье 5 лучших альтернатив Google Authenticator перечислены шесть продуктов, которые имеют бесплатный (но также и платный) тарифный план: Google Authenticator, Authy, Duo, HDE OTP, Authenticator Plus, Sound Login Authenticator. Я никогда не использовал такие продукты, поэтому не знаю, насколько они полезны для вас.

Спасибо @harrymc, знаете ли вы, возможно ли установить пароль или ключ как часть первоначального входа в удаленный рабочий стол, так что мы не будем ограничены запоминающимся безопасным паролем, который пользователи будут использовать для входа в систему, а скорее могут использовать случайный символ из 60 символов строка в качестве предварительного общего ключа для дополнения пароля пользователя sam 6 лет назад 0
Windows 10 имеет новую технологию [Виртуальные смарт-карты] (https://docs.microsoft.com/en-us/windows/security/identity-protection/virtual-smart-cards/virtual-smart-card-overview), которая фактически обеспечивает двухфакторную аутентификацию. См. [Начало работы с виртуальными смарт-картами: руководство по прохождению] (https://docs.microsoft.com/en-us/windows/security/identity-protection/virtual-smart-cards/virtual-smart-card-get- началось). Я никогда не использовал его, поэтому не могу отвечать на вопросы. harrymc 6 лет назад 0
Виртуальные смарт-карты требуют TPM 1.2. У всех ваших компьютеров есть тот @sam? PatrikN 6 лет назад 0
@PatrikN я сомневаюсь, клиентские машины в основном macs sam 6 лет назад 1
К сожалению, это единственный бесплатный продукт, который я знаю. Коммерческие продукты могут быть найдены путем поиска в Google для двухфакторной аутентификации. harrymc 6 лет назад 0
@sam, по поводу пароля, смотрите мой ответ (про SSH). А так как это Mac, то NLA тоже нельзя использовать. PatrikN 6 лет назад 0
Я добавил ссылку на статью, в которой представлены шесть продуктов 2FA, которые могут помочь, но вы сами можете их проверить. harrymc 6 лет назад 0
@harrymc, читая маркеры над ним, поражает меня, что «низко висящий фрукт» (например, самый простой для реализации и самый широкий) - «Использовать надежные пароли» и «Установить политику блокировки учетной записи», чтобы если бы существовал уникальный пароль в 10 символов и 30-минутная политика блокировки с 3 попытками, независимо от того, был ли у кого-то доступ к портам, у него не было бы времени для перебора. Будет ли достаточно, по вашему мнению, настроить только эти 2 пункта? sam 6 лет назад 0
Никогда не может быть ответа на вопрос «что достаточно». Все зависит от векторов атаки, от которых вы хотите защититься. Эти две меры являются хорошей защитой от атак методом перебора, но они не помогут, например, против пользователя, который помещает свои учетные данные на наклейке. harrymc 6 лет назад 0
3
PatrikN

Основываясь на текущей информации, мои рекомендации:

  • Установив туннель SSH, вы получаете дополнительный уровень аутентификации, где вы можете использовать другое имя пользователя / пароль или аутентификацию с открытым ключом для входа в систему. Вы также можете включить запутывание с совершенно другим паролем, как вы хотели. Таким образом, вы также усложняете для кого-то, отслеживающего трафик, возможность даже видеть, что это SSH - и для подключения им обоим нужен этот пароль и любой логин SSH, который вы настроили. Добавьте к этому, что это туннельный RDP-трафик, который также зашифрован.

    На компьютере с Windows вы можете установить Bitvise SSH Server, а на Mac - добавить поддержку обфускации.на встроенный OpenSSH с некоторыми путями ZingLau .
  • 2FA может быть возможно, но это не будет легко или бесплатно. Для входа со встроенной смарт-картой требуется домен Windows Active Directory, но для автономных компьютеров существуют сторонние решения. EIDAuthenticate поддерживает RDP и доступен в бесплатной версии с открытым исходным кодом, но только для домашних выпусков (тем не менее, они думают о «программе домашнего использования», поэтому обращение к ним может ускорить это мышление). Но в вашем случае этого может быть недостаточно, так как это только для Windows, и вы подключаетесь с Mac.
  • Ограничение входящих подключений к локальной сети, может быть легко сделано в брандмауэре Windows .
  • Общие вещи, такие как надежные пароли и обновление всех компьютеров должны быть сделаны, конечно. Я также рекомендую иметь отдельные учетные записи пользователей и администраторов и разрешать вход только (непривилегированным) учетным записям пользователей через RDP, поэтому учетная запись администратора должна входить локально.
  • Следующее, на что я бы обратил внимание, - это безопасность подключаемых клиентов, потому что, если они скомпрометированы, все остальные настройки, которые вы настроили , не сильно помогут . Но я говорю об общих принципах безопасности, поэтому не буду вдаваться в подробности.
0
William

Этот сценарий возможен с WebADM от RCDevs, который является бесплатным до 40 пользователей.

  1. Пароль, отличный от имени пользователя, используемого для входа при физическом использовании аппарата.

Да, WebADM использует LDAP, ActiveDirectory ... Так что вы можете использовать другое имя пользователя / пароль.

  1. Двухфакторная аутентификация.

Да, вы можете использовать TOTP, HOTP с аппаратным / программным токеном, электронную почту и смс.

  1. Ограничьте все входящие подключения к машинам только в одной локальной сети.

Да, вы можете определить политику клиента.

  1. Там будет 3 компьютера, которые будут подключаться к хосту, в основном Mac.

Да, вы можете установить плагин Credential Provider для Windows или OSX с автономной аутентификацией.

Похожие вопросы