Amit Asked: 2023-11-15 19:12:20 +0800 CST2023-11-15 19:12:20 +0800 CST 2023-11-15 19:12:20 +0800 CST 如何以尽可能高的安全性配置从特定笔记本电脑到 LAN 内我的工作站的远程桌面访问? 772 禁用远程桌面访问是 100% 安全的。 是否有一种万无一失的方法可以专门启用从指定笔记本电脑到我的 LAN 内的工作站的远程桌面访问?我知道实现绝对安全具有挑战性,但我的目标是建立一种配置,仅允许从该特定设备进行访问,同时尽可能优先考虑安全性。 我的目标是达到一个安全级别,即使在 LAN 上的另一个连接具有相同的 IP 和 MAC 地址且具有密码的情况下,也能阻止远程桌面访问。 也许使用基于自签名证书的方法? security 1 个回答 Voted Best Answer u1686_grawity 2023-11-15T19:36:52+08:002023-11-15T19:36:52+08:00 远程桌面本身没有内置机制,最好的安全性将通过外部手段实现(即不涉及 RDP 身份验证过程 - 不仅仅是因为它以前存在安全问题)。 IPsec 数据包加密将是最接近 Windows 原生解决方案的东西;wf.msc您可以通过(在允许您配置基本的基于IP的防火墙规则的同一个控制台中,我认为这不符合您的标准)来配置它。 IPsec 支持证书身份验证,但在 Windows 上,自签名证书不行 - 您需要创建自己的 CA,然后用它签署机器证书,例如使用“xca”或 OpenVPN 的“Easy-RSA”工具。可以使用笔记本电脑可能具有的 TPM 保护客户端计算机证书免遭提取。 (请注意,您不希望设置 IPsec VPN – 既不是 IKEv2 VPN,也不是 L2TP/IPsec VPN – 您希望设置主机到主机的“传输模式”保护。) 另一种选择是第三方点对点 VPN(WireGuard、OpenVPN 等)以及基于 IP 的规则,以将连接限制为仅虚拟 VPN 接口(Windows 防火墙“公共/专用”配置文件可能会使此简单的)。 OpenVPN 使用 CA 证书并附带创建证书的工具。WireGuard 不使用 X.509 证书(因此无法利用 Windows 的内置 TPM 支持),但它确实以与 SSH 密钥或自签名证书类似的方式使用 EdDSA 密钥对,并且在 Windows 上它会尝试阻止除了 WireGuard GUI 之外的任何内容都无法读取存储的配置。
远程桌面本身没有内置机制,最好的安全性将通过外部手段实现(即不涉及 RDP 身份验证过程 - 不仅仅是因为它以前存在安全问题)。
IPsec 数据包加密将是最接近 Windows 原生解决方案的东西;
wf.msc您可以通过(在允许您配置基本的基于IP的防火墙规则的同一个控制台中,我认为这不符合您的标准)来配置它。IPsec 支持证书身份验证,但在 Windows 上,自签名证书不行 - 您需要创建自己的 CA,然后用它签署机器证书,例如使用“xca”或 OpenVPN 的“Easy-RSA”工具。可以使用笔记本电脑可能具有的 TPM 保护客户端计算机证书免遭提取。
(请注意,您不希望设置 IPsec VPN – 既不是 IKEv2 VPN,也不是 L2TP/IPsec VPN – 您希望设置主机到主机的“传输模式”保护。)
另一种选择是第三方点对点 VPN(WireGuard、OpenVPN 等)以及基于 IP 的规则,以将连接限制为仅虚拟 VPN 接口(Windows 防火墙“公共/专用”配置文件可能会使此简单的)。
OpenVPN 使用 CA 证书并附带创建证书的工具。WireGuard 不使用 X.509 证书(因此无法利用 Windows 的内置 TPM 支持),但它确实以与 SSH 密钥或自签名证书类似的方式使用 EdDSA 密钥对,并且在 Windows 上它会尝试阻止除了 WireGuard GUI 之外的任何内容都无法读取存储的配置。