允许用户通过远程桌面连接到您的服务器是一个巨大的安全漏洞吗?现在我有一个设置,我只允许几个 IP 地址通过 RDP 端口连接,但我正在考虑删除它并允许所有 IP 连接,这样如果我有问题时我可以用我的 iPhone 进行 RDP米不在家。
所以只要我有一个安全的密码你们认为这是一个坏主意吗?我还能做些什么来让它更安全一点,但仍然可以从“任何地方”连接?例如,是否可以设置一个我必须访问的页面“允许任何人登录 2 小时”。某种默默无闻的安全感?
感谢我能得到的任何帮助。
允许用户通过远程桌面连接到您的服务器是一个巨大的安全漏洞吗?现在我有一个设置,我只允许几个 IP 地址通过 RDP 端口连接,但我正在考虑删除它并允许所有 IP 连接,这样如果我有问题时我可以用我的 iPhone 进行 RDP米不在家。
所以只要我有一个安全的密码你们认为这是一个坏主意吗?我还能做些什么来让它更安全一点,但仍然可以从“任何地方”连接?例如,是否可以设置一个我必须访问的页面“允许任何人登录 2 小时”。某种默默无闻的安全感?
感谢我能得到的任何帮助。
也许您应该将此问题发布到 serverfault。但不管怎么说。
如果您仅使用用户/密码作为访问方法。然后攻击者很容易锁定您的用户(或所有用户,他们甚至不必拥有终端访问权限)。所以是的,这将是一个巨大的安全漏洞。有很多方法可以防止这种处理并使 rdp 在任何地方都可用。但我对其中任何一个都不熟悉。
对企业服务器的任何远程访问实施双重身份验证是很常见的。在许多公司中,您会看到 RSA 令牌被用作第二个因素,尽管我更喜欢使用 SMS --- 只要您有两个因素在起作用,这并不重要:您知道的东西,您拥有的东西,您拥有的东西是。
如果您的公司不想实施第二个因素,那么我仍然不会推荐公开的 RDP 接口。它对暴力攻击、操作系统漏洞或只是简单的旧拒绝服务开放(如果我用流量破坏您的公共接口,那么它将减慢您公司内合法机器的使用速度)。至少我会考虑通过 SSH 建立隧道,可能使用客户端证书身份验证,或者我会实施端口敲击以首先访问服务器接口。
这是一个安全漏洞,但不是那么严重。流量是加密的,从它读取用户或密码并不像在基于文本的协议中那样即时,比如 ftp。它只是比 ssh 安全一点。
它显然具有与任何其他远程访问相同的缺陷(可能是暴力破解或 DOS 攻击)。您还应该使用非默认帐户名称以避免简化攻击者的任务。
您仅在访问某些页面后才打开访问权限的想法也不错。看起来它是经典端口敲击机制的变体(但要注意避免打开更大的孔)。