背景:目前,我们通过IP KVM管理我们的服务器,但我们正在慢慢迁移到VMWare ESXi. KVM界面很笨重,用户管理有点麻烦,如果可能的话,我想让人们远离VIC控制台.我们的网络上不允许使用RDP,因为所有流量都必须通过VIC或KVM漏斗,而VIC或KVM具有来自内部CA的证书.
问题:我正在使用此转换来推动RDP以进行服务器的内部管理.我想说明RDP的情况,但安全性(即使这些服务器不面向Internet)仍然是一个问题.我看过TS网关,但似乎是Internet到远程服务器,而不是从内部客户端到内部服务器.我知道这是非常广泛的,请随时要求澄清,但在内部服务器上安全地实施RDP的最佳方法是什么.
与任何技术一样 – 限制您的表面积.不要让普通简丹RDP对世界开放.需要VPN或来自受信任供应商(web-ssl网关等)的其他类型的传递身份验证.
对于内部使用 – 应配置标准密码管理策略并配置锁定.配置RDP以使用最高级别的安全性(强制RDP通过GPO使用128位加密). RDP至少与VIC或大多数KVM一样安全.数百万人每天使用Citrix或终端服务. VIC和KVM根本没有安装此设备的数量,或试图利用它们的人.鉴于两种竞争成熟的技术没有已知的漏洞利用,我认为安装基础比安装基础更安全的技术更安全,安装基础通常笼罩在拥有专有单供应商工具的专用网络内.
对于外部客户端,如果您需要这种安全级别,我会考虑使用客户端证书身份验证的第三方安全SSLVPN网关.
如果你真的不信任RDP,但确实信任,说SSH ……有一个名为WiSSH的SSH应用商用RDP可以实现双因素身份验证以及两个独立的安全层.
自2000年以来,RDP一直是Windows XP Professional和Windows Server安装的一个选项.它是Windows服务器的远程访问管理工具,在过去9年中几乎没有漏洞.甚至WindowsSecurity.com的建议清单也很复杂,并且反映了任何其他管理系统的最佳实践.
