一般向けのリモートデスクトップサーバーを保護する方法

ネットワークの外部からアクセスするリモートデスクトップサーバー（ターミナルサービス）を公開する必要があると考えています。現時点では、ネットワーク内からのみアクセスできます。

ファイアウォールを開いてポートを転送するのは簡単だと思います。

ただし、マシン自体をどのように保護するのですか？また、これに関するベストプラクティスは何ですか？私の懸念は、ハッカーがそれに侵入することで働くことができることです。

ベストプラクティスのガイドライン/推奨事項は大歓迎です。

編集：

見つけた製品に関する質問：

IP、MACアドレス、コンピューター名などで着信RDP接続をフィルター処理する

誰もこれのセキュリティについてコメントできますか？私はそれを使用してマシン名/ Macでアクセスを制限することもできますか？他の誰かがそれを使用しましたか？

これはあなたが望んでいること以上のものかもしれませんが、VPNを使用していないリモートユーザーに対してRDPを使用する方法は次のとおりです。

最近、Windows 2008の役割であるリモートデスクトップサービスでRDゲートウェイマネージャーの使用を開始しました。TMGサーバーを経由してユーザーマシンに直接アクセスするようにセットアップしました。上記のNLAを使用します。接続するユーザーは、適切なADグループのメンバーであり、適切なローカルグループのメンバーである必要があります。設定方法に応じて、基本的にmstscを開いてRDゲートウェイのプロキシ設定を入力するWebページを介して接続するか、マシンを開くたびに設定が試行されるように手動で設定することができますそのプロキシを介して。これまでのところ、非常にうまく機能しており、安全であるようです。

最近の歴史は私たちを示している、プロトコルをさらすことに固有のリスクがあります。ただし、システムを保護するために実行できる手順がいくつかあります。

• ネットワークレベル認証を実施します。
• 接続の暗号化を強制します。
• ターミナルサービス経由でのログインを許可するユーザーを最小限に制限し、既定のドメインAdministratorアカウントなどの「特別な」アカウント、または理想的には他の高特権アカウントを許可しません。
• ログインが許可されているアカウントのパスワードが強力であることを確認してください。現在、ユーザー数とポリシーの表示方法に依存しますが、ハッシュをダンプしてそれらをクラックしようとする、パスワードの長さの制限を引き上げる、または単にユーザーを教育する良いアプローチ。

リモートデスクトップゲートウェイサービスを使用することを強くお勧めします。誰がどこから何に接続できるかに関するポリシーを実施できる場所を提供します。これにより、ログを記録するのに適した場所が提供されるため、ファーム内の個々のサーバーのイベントログを調べることなく、誰がログインしようとしているのかを確認できます。

まだ行っていない場合は、アカウントロックアウトポリシーが非常に強力に設定されていることを確認してください。NLAとゲートウェイを備えたRDPでも、ブルートフォースパスワードを試みるための何かを人々に与えます。強力なロックアウトポリシーは、ブルートフォース攻撃の成功を非常に困難にします。

システムに有効なSSL証明書を設定して、誰かが何らかの種類のMITM攻撃を実行しようとした場合にクライアントがエンドユーザーに通知するようにします。

これはあまり安全ではありませんが、セキュリティを強化する方法はいくつかあります。

そのサーバーからのインターネットアクセスを許可しません。より深刻なマルウェアの多くは、システムを危険にさらすと、コマンドアンドコントロールサーバーと通信しようとします。デフォルトでアウトバウンドアクセスを許可しないファイアウォールアクセスルールと、内部/既知のネットワークとRFC 1928サブネットへのアウトバウンドアクセスのみを許可するルールを設定すると、リスクを軽減できます。

スマートカードまたは他の種類の2要素認証を使用します。これは一般的に高価で、大規模な組織で主に見られますが、オプションは改善されています（PhoneFactorが思い浮かびます）。アカウントレベルでスマートカードを構成するオプションとして、スマートカードの要求はサーバーごとに実行できることに注意してください。

境界ネットワークを構成し、リモートデスクトップサーバーを境界に配置し、安価なVPNを使用してアクセスを提供します。例は、ハマチです。境界ネットワークからのインターネットアクセスを許可しないこともお勧めします。

可能であれば、完全なデスクトップを提供せずに、必要なアプリケーションを公開します。誰かが単一のアプリケーションへのアクセスのみを必要とする場合、「初期プログラム」を構成することもできます。これは、アプリケーションの終了時にログオフを強制できる単純なラッパーシェルである可能性があります。

私は次の対策を提案します：

1. リモートデスクトップ接続に使用するポートを変更する
2. 一般的なユーザー名ではなく、より複雑な命名ポリシーを使用します
3. 高いパスワード要件
4. 外部から他の未使用ポートを閉じます（インバウンド）

オプショナル

5. VPN（CISCO、Open VPNなど）を使用してから、内部IPを使用してサーバーに接続します。
6. 可能であれば、スマートカードログオンを使用する

ポート22でWinSSHDを実行し、Tunnelierクライアントを使用してトンネルを作成し、ワンクリックでトンネルを介してターミナルサービスセッションを自動的に開くことができます。これにより、ファイルを転送するための非常に優れた安全なFTPオプションも提供されます。

これらのことにはsshポートフォワーディングを使用し、ユーザーレベルの公開キーベースの認証のみを許可します。すべてのユーザーの秘密鍵も暗号化する必要があります。Windowsでは、Puttyはこれをうまく行い、pageantはユーザーが簡単にキーをロードできるようにします。デフォルトでsshを搭載したLinux / BSDサーバーを実行しない場合、CygwinでOpenSSHを使用してこれを行うことができます。

SSHでポート転送を許可すると、基本的には内部サーバー/ポートが必要なユーザーに開かれるため、ローカルファイアウォールを備えた専用のリモートシェルサーバーを使用することをお勧めします。

Bitvise SSHは、Windows用の優れた無料のSSHです。

クライアントからインターネットゲートウェイ境界への安価なSSL VPNターミネーションは、偶然の使用（商業的な不確実性など）以外の目的で使用します。

RDPのセキュリティ保護に関する上記の投稿も推奨事項であり、コンピューターをフリーローダーと共有したくない場合は、常に実行する必要があります。

実際にはベストプラクティスではありませんが、いくつかのランダムな考え：

• システムを常に最新の状態に保ちます-自動更新を許可し、製品の寿命が尽きた製品を使用しないでください。
• すべてのシステムアカウントに長い/複雑なパスワードを使用する
• 「隠蔽によるセキュリティ」を提案したことでここでscられますが、次の場合は害はありません。
  • デフォルトの3389 / tcpポートを26438 / tcpなどの他のポートに変更します
  • ファイアウォールレベルでポートノッキングを（可能であれば）追加して、潜在的なrdpユーザーが最初にいくつかのWebページにアクセスし、その後でのみサーバーにrdpできるようにします。