Erhöhen Sie die Sicherheit für Remotedesktopcomputer-Verwenden Sie 2FA und / oder beschränken Sie sich nur auf die LAN-Verbindung?

Ich möchte Windows Remote Desktop auf einem W10 Pro-Computer einrichten.

Ich möchte die Sicherheit der Verbindung erhöhen und mich fragen, ob eines der folgenden möglich ist:

  • Ein Passwort, das sich von dem Benutzernamen unterscheidet, mit dem sich der Computer physisch anmeldet. Auf diese Weise könnte es eine zufällig generierte Zeichenfolge verwenden, die ich einmal vom Einwahlcomputer eingeben könnte.

  • 2 Faktor-Authentifizierung.

  • Alle begrenzen eingehende Verbindungen zu Maschinen nur im selben LAN.

Es wird 3 Computer geben, die eine Verbindung zum Host herstellen, hauptsächlich Macs.

Ist das alles möglich und gibt es noch andere Dinge, die ich mir ansehen sollte?

Author: PatrikN, 2018-02-11
Source

3 answers

Artikel Remote Desktop (RDP) für Systemadministratoren sichern listet diese Tipps auf:

  • Sichere Passwörter verwenden
  • Aktualisieren Sie Ihre software -
  • Zugriff über Firewalls einschränken
  • Authentifizierung auf Netzwerkebene aktivieren (standardmäßig für Windows 10 aktiviert)
  • Benutzer einschränken, die sich mit Remote Desktop anmelden können (standard sind alle Administratoren)
  • Legen Sie eine Kontosperrrichtlinie fest (sperren Sie ein Konto nach einer Reihe falscher Vermutungen)
  • Ändern der listening-port für Remote-Desktop (Standard ist TCP 3389)
  • verwenden Sie keine anderen Produkte wie VNC oder PCAnywhere -

Für Ihre Frage zur Zwei-Faktor-Authentifizierung, Ich glaube nicht, dass dies unter Windows 10 Pro existiert, nur auf Windows-Server.

Artikel Die 5 besten Alternativen zu Google Authenticator listet sechs Produkte auf, die einen kostenlosen Plan haben (aber auch bezahlte) : Google Authenticator, Authy, Duo, HDE OTP Authenticator Plus, Sound-Login Authenticator. Ich habe noch nie solche Produkte verwendet, also weiß nicht, wie nützlich diese für Sie sind.

 5
Author: harrymc,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-02-24 09:19:33

Basierend auf den aktuellen Informationen sind meine Empfehlungen:

  • Wenn Sie einen SSH-Tunnel einrichten, erhalten Sie eine zusätzliche Authentifizierungsebene, auf der Sie einen anderen Benutzernamen/ein Passwort oder verwenden können Authentifizierung mit öffentlichem Schlüssel um sich anzumelden. Sie können auch aktivieren Verschleierung , mit einem völlig anderen Passwort, wie Sie wollten. Auf diese Weise machen Sie es auch schwieriger für jemanden, der den Datenverkehr überwacht, sogar zu sehen, dass es SSH ist - und sich zu verbinden, sie beide benötigen Sie das Passwort und was auch immer SSH Login Sie einrichten. Hinzu kommt, dass es RDP-Verkehr tunnelt, der auch verschlüsselt ist.

    Auf dem Windows Rechner können Sie installieren Bitvise SSH Server und auf den Macs können Sie der eingebauten OpenSSH Verschleierungsunterstützung mit einigen Patches von ZingLau hinzufügen.
  • 2FA könnte möglich sein, aber es wird nicht einfach oder frei sein. Die integrierte Smartcard-Anmeldung erfordert ein Windows Active Directory-Domäne, es gibt jedoch Lösungen von Drittanbietern für eigenständige Computer. EIDAuthenticate unterstützt RDP und ist in einer [[4]}kostenlosen [[5]} Open-Source-Version verfügbar, jedoch nur für Home-Editionen (dennoch denken sie über ein "Heimnutzungsprogramm" nach, also könnte die Kontaktaufnahme mit ihnen dieses Denken beschleunigen). Aber in Ihrem Fall ist es vielleicht nicht genug, da es nur für Windows ist, und Sie verbindet sich von einem Mac.
  • Begrenzung eingehender Verbindungen zu LAN, kann leicht in Windows Firewall getan werden.
  • Allgemeine Dinge wie sichere Passwörter und Aktualisierung alle Computer werden natürlich getan werden. Ich empfehle auch, separate Benutzer-und Administratorkonten zu haben, und erlaubt nur den (nicht privilegierten) Benutzerkonten, sich über RDP anzumelden, sodass sich das Administratorkonto lokal anmelden muss.
  • Das nächste, was ich mir ansehen würde, wäre die Sicherheit auf den Clients, die sich verbindet, weil wenn sie kompromittiert sind, helfen all die anderen Dinge, die Sie eingerichtet haben nicht viel. Aber ich spreche über allgemeine Sicherheitsprinzipien, also werde ich nicht auf Details eingehen.
 3
Author: PatrikN,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-02-21 21:55:03

Dieses Szenario ist mit WebADM von RCDevs möglich, das sogar für bis zu 40 Benutzer kostenlos ist.

  1. Ein Passwort, das sich von dem Benutzernamen unterscheidet, mit dem sich der Computer physisch anmeldet.

Ja, WebADM verwendet LDAP, ActiveDirectory... Sie können also einen anderen Benutzernamen/ein anderes Passwort verwenden.

  1. Zwei-Faktor-Authentifizierung.

Ja, sie können TOTP, HOTP mit Hardware/Software Token, e-mail und sms.

  1. Begrenzen Sie alle eingehenden Verbindungen zu Maschinen nur im selben LAN.

Ja, Sie können die Clientrichtlinie definieren.

  1. Es wird 3 Computer geben, die eine Verbindung zum Host herstellen, hauptsächlich Macs.

Ja, Sie können das Credential Provider Plugin für Windows oder OSX mit Offline-Authentifizierung installieren.

 1
Author: William,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-09-17 15:55:09