web-dev-qa-db-fra.com

Comment sécuriser un serveur de bureau distant auquel sont confrontés?

Je cherche à donner votre accès à mon serveur de bureau à distance (Services de terminal) à l'extérieur de notre réseau. À l'heure actuelle, on ne peut être consulté que de l'intérieur de notre réseau.

Je sais que c'est assez facile d'ouvrir le pare-feu et de transférer le port.

Cependant, comment puis-je sécuriser la machine elle-même et quelles sont les meilleures pratiques autour de cela? Mon inquiétude est que des pirates sont en mesure de pouvoir y travailler.

Toutes les directives/recommandations des meilleures pratiques seraient très appréciées.

Éditer:

Question sur un produit que j'ai trouvé:

Filtrer les connexions RDP entrantes par IP, adresse MAC, nom d'ordinateur et plus

Quelqu'un peut-il commenter la sécurité de cela? On dirait que je pourrais aussi l'utiliser pour limiter l'accès par nom/Mac de la machine? Quelqu'un d'autre l'a utilisé?

securityremote-desktop
16
me2011

Cela peut être plus que ce que vous cherchez à faire, mais voici comment nous utilisons RDP pour les utilisateurs distants qui n'utilisent pas VPN.

Nous avons récemment commencé à utiliser le RD Gateway Manager avec Remote Desktop Services, un rôle dans Windows 2008. Nous avons la configuration de notre serveur TMG et directement sur une machine d'utilisateurs. Il utilise la NLA comme mentionné ci-dessus. La connexion utilisateur doit être membre du bon groupe d'annonces et un membre du groupe local droit à autoriser l'accès. Selon la manière dont vous voulez la configuration, vous pouvez vous connecter via une page Web que basiclly ouvre le MSTSC et entrez le paramètre proxy de la passerelle RD, ou vous pouvez définir les paramètres de votre appareil manuellement afin que chaque fois que vous ouvrez, il tente d'aller à travers ce proxy. Jusqu'à présent, il a très bien fonctionné et semble être en sécurité.

14
Don

Comme histoire récente nous a montré que les risques inhérents à l'exposition du protocole. Mais, vous pouvez prendre certaines mesures pour protéger le système:

  • Appliquer l'authentification du niveau de réseau.
  • Appliquer le cryptage de connexion.
  • Restreindre les utilisateurs autorisés à se connecter via les services Terminal TerminalS au minimum absolu et n'autorisent pas les comptes "spéciaux" tels que le compte de domaine par défaut Administrator Compte, ou idéalement de tout autre compte de privilège élevé.
  • Assurez-vous que les mots de passe sont forts sur des comptes autorisés à vous connecter. Dépend du nombre d'utilisateurs et de la façon dont vos politiques ont l'air actuellement, mais de jeter les hauts et de la tentative de les craquer, en hausse des limites de la longueur du mot de passe ou simplement d'éduquer les utilisateurs sont bonnes approches.
8
Shane Madden

Je suggère fortement d'utiliser le service de passerelle de bureau distant. Cela vous donne un endroit où vous pouvez faire respecter les politiques concernant qui peut se connecter à quoi d'où. Cela vous donne un bon endroit pour la journalisation, vous pouvez donc voir qui essaie de vous connecter sans inspecter les journaux des événements des serveurs individuels de votre ferme.

Si vous ne l'avez pas déjà fait déjà, assurez-vous que vos stratégies de lock-out sont assez fortes. RDP Même avec NLA et une passerelle donnent aux gens quelque chose à tenter de forcer les mots de passe bruts. Une politique de lock-out forte rend fort très difficile pour les tentatives de force brute de réussir.

Configuration des certificats SSL valides sur les systèmes, le client informera donc les utilisateurs finaux si quelqu'un essaie d'effectuer une sorte d'attaque MITM.

6
Zoredache

Ce n'est pas très sécurisé, horowever, il existe quelques façons de renforcer la sécurité.

Interdit l'accès à Internet à partir de ce serveur. Beaucoup de programmes malveillants plus graves tentent de communiquer à leur commande de commande et de contrôle lorsqu'il compromet votre système. Configuration d'une règle d'accès au pare-feu pour interdire l'accès sortant par défaut et une règle permettant d'autoriser l'accès sortant uniquement aux réseaux internes/connus et les sous-réseaux RFC 1928 peuvent atténuer le risque.

Utilisez des cartes à puce ou un autre type d'authentification à deux facteurs. Ceci est généralement coûteux et trouvé principalement dans les grandes organisations, mais les options s'améliorent (vous vient à l'esprit par téléphone). Remarque que nécessitant des cartes à puce peut être effectuée par serveur, comme une option pour la configurer au niveau du compte.

Configurez un réseau de périmètre, placez le serveur dektop distant dans le périmètre et utilisez un VPN peu coûteux pour fournir l'accès. Un exemple serait Hamachi. Notez que refuser l'accès à Internet d'un réseau de périmètre est également une bonne pratique.

Si possible, ne fournissez pas de bureau complet, mais publiez les applications dont elles ont besoin. Si quelqu'un n'a besoin que d'accéder à une seule application, il est également possible de configurer un "programme initial", qui pourrait être une simple coquille wrapper qui peut appliquer une déconnexion lorsque l'application se ferme.

3
Greg Askew

Je suggérerais les mesures suivantes:

  1. Changer le port utilisé pour la connexion de bureau à distance
  2. N'utilisez pas d'utilisateur générique, mais une politique de dénomination plus compliquée
  3. Exigences de mots de passe élevés
  4. Fermez tout autre port inutilisé de l'extérieur (entrant)

Optionnel

  1. Utilisez un VPN (Cisco, Open VPN, etc.), puis connectez-vous au serveur à l'aide de la propriété intellectuelle interne.
  2. Utilisez Smart Card Connectez-vous si possible
1
Alex H

Vous pouvez exécuter winshd sur le port 22, puis utilisez le client tunnelier pour créer un tunnel pour vous et ouvrez automatiquement une session Terminal Services via le tunnel en un clic. Cela vous donne également une très bonne option FTP sécurisée également pour transférer des fichiers.

1
djangofan

Bitvise SSH est un bon ssh gratuit pour Windows.

J'irais une terminaison VPN SSL bon marché du client au périmètre de la passerelle Internet pour quelque chose de plus qu'un usage occasionnel (confiance commerciale en toute confiance).

Les postes ci-dessus sur la sécurisation de la RDP sont également bonnes et doivent toujours être effectués si vous ne souhaitez pas partager vos ordinateurs avec des freeloaders.

1
will

J'utilise le transfert de port SSH pour ces choses et n'autorise que le niveau utilisateur, l'authentification de la clé publique. Tous les utilisateurs Les clés privées doivent également être cryptées. Sur Windows Putty, le putty fait-il bien, et Pageant permet aux utilisateurs de charger leur clé. Si vous n'exécutez aucun serveur Linux/BSD qui ont SSH par défaut, vous pouvez utiliser OpenSSH à Cygwin pour le faire.

Je recommande un serveur shell discié à distance avec un pare-feu local Bloquant des éléments que vous ne voulez pas que les personnes se reproduisent, puisque la transmission du port dans SSH ouvre fondamentalement tout serveur/port interne aux utilisateurs souhaités.

1
Jon Zobrist