インターネットで使用するためのWindows 7上のリモートデスクトップサーバーのセキュリティ保護

私はデスクトップとラップトップの両方がWindows 7 Professionalを実行しています。私の目標は、ラップトップのみからインターネット経由で "リモートデスクトップ"を安全に使用できるようにデスクトップを保護することです。

私はすでにデスクトップを保護するために次のことをしました:

  1. ホストで必要な暗号化(記事
  2. 自分のルーターを介してリモートデスクトップポートをランダムなあいまいなポート番号に転送しました。
  3. ホスト上の自分のアカウントに複雑なパスワードを設定します。

これらのどれも私のラップトップからのみ接続を許可します。

セキュリティを強化するために他に何ができますか?

0

5 答え

1つの選択肢はipsecを使用することですが、あらゆるネットワークで確実に動作するように設定するのはPITAになります。トンネルプロトコルははるかに堅牢です。

それが私であれば、私は組み込みの暗号化/ランダムなあいまいなポート番号/複雑なパスワードを落とし、クライアント証明書の検証を伴うstunnelを使って(そしてより単純なパスワードを使って)接続をルーティングしたいと思います。そうすることで、正しいクライアント証明書(または正しいCAによって署名された証明書)を保持しているデバイスへのアクセスを制限できます。

あなた自身の認証局を運営することは、たった一人のリモートユーザにとってはやり過ぎるかもしれません - いくつかのCAは電子メールの使用のために署名された証明書を比較的安く提供します。確かに、Thawteは彼らを無料で配っていた、Entrustは現在20米ドル/年を請求している。しかし、自分のCAを作成するのはそれほど難しくありません(ただし、私はMSWindowsにCAを設定しようとしたことは一度もありません)。

それから、デスクトップ上のRDPポストへの直接アクセスをファイアウォールで許可し、サーバサイドスタネルが実行されているIPアドレスからの接続を許可します。

私は以前、道路上の戦士たちのためにVNC、メール、そしてtelnetのためにそのような設定を使っていました(そう、私は知っています - それは長い話です)。 RDPはこの種の設定で機能します。

1
追加された

使用しているRDPクライアントがSOCKS 5プロキシをサポートしているかどうかわからない。しかし、もしそうなら、あなたはクライアント証明書を使ってsshで暗号化されたトンネルを設定することができます。

SSHトンネルを設定するのはそれほど難しくありません。

1
追加された

私は二要素認証モジュールを追加するでしょう、それで攻撃者は彼らの方法でブルートフォースをすることができないでしょう(人間はひどく単純なパスワードを使用する傾向がある)。

そのような選択肢の1つは Duo Security です。これは(独自のアプリを通じて)プロンプトをスマートフォンにプッシュしたり送信したりすることができますテキストメッセージによるワンタイムパスワード。最大10ユーザーまで無料です。

別の選択肢はオープンソースです。 " mOTP-CP "または" MultiOneTimePassword資格情報プロバイダー "。これにより、他のサービスに既に使用している可能性があるGoogle Authenticatorを使用できます。

他にもたくさんの選択肢があると思います。

1
追加された

ルーターであなたのラップトップのネットワークカードのMACアドレスによる送信を制限する可能性があるかもしれません。これはルーターに依存します:ここにあなたは例があります: http://www.wikihow.com/Create-Machine-Address-Filter-List-on-a-Home-Router ルーターのマニュアルを確認してください。

1
追加された

いくつかのオプション...

  1. リモートデスクトップゲートウェイを使用している場合は、コンピューターが指定されたグループに属していることを要求するリモートデスクトップ接続承認ポリシー(CAP)を設定できます。 [編集] RD CAPの設定に関する情報はこちらにあります。
  2. 2Xで販売されている SecureRDP というサードパーティ製のユーティリティがありますが、これはまさにあなたが望むことです。今はフリーウェアです。
1
追加された