我们正在开发一种在 Windows Server 2008 上运行的产品。该产品安装到使用 Server 2008 在专用硬件(我们拥有或至少提供服务)上运行的客户环境中。我们认为这是一个“设备”,尽管它基本上是一个一组运行 Server 2008 的 X 高端机器。无论如何,我们需要在客户环境中远程管理这些服务器,并且正在寻找管理它们的最简单安全的方法。
VPN 是显而易见的解决方案,但是因为每个客户都实施了他们自己选择的 VPN,所以我们很难支持它(我们需要在这里设置许多不同的 VPN 软件来远程访问)。另一种选择是让客户为 RDP 流量打开一个端口,这样我们就可以远程访问我们的服务器。但这当然是有风险的(即使我们选择了非标准端口),客户 IT 人员真的不喜欢这样。
所以最近我在阅读 TS Gateway(现在 R2 中的 RD Gateway)。我想知道这是否是我们的完美解决方案。如果我们在客户站点的其中一台服务器上进行设置,然后让他们直接向该服务器打开端口 443,这是否是我们将 RDP 访问到客户站点的所有服务器的安全机制?似乎他们的 IT 人员可能更容易接受这一点。
请注意,我们在客户环境中的 2008 服务器未加入域,它们是一个简单的工作组。
想法?我错过了什么吗?有更好的解决方案吗?
TS-Gateway 旨在让您建立与边界的安全连接,并从那时起控制对内部网络资源的授权。TS-Gateway 提供了对哪些人(一旦通过网关进行身份验证)可以连接到边界内的哪些系统进行精细控制的能力。它旨在创建一个缓冲区,以防止使用 RDP 协议作为向量对您的内部系统进行直接攻击。根据您的描述,TS-Gateway 服务旨在帮助满足这一特定需求。它旨在创建一个缓冲区,以防止使用 RDP 协议作为向量对您的内部系统进行直接攻击。根据您的描述,TS-Gateway 服务旨在帮助满足这一特定需求。它旨在创建一个缓冲区,以防止使用 RDP 协议作为向量对您的内部系统进行直接攻击。根据您的描述,TS-Gateway 服务旨在帮助满足这一特定需求。
我不确定 TS Gateway 如何比设置 RDP 风险更低。事实上,它可能风险更大,因为它在市场上的时间不长。
另一种选择是在服务器上设置 SSH,然后为您的 RDP 会话使用 SSL 隧道。如果您使用 SSH 身份验证密钥,这将增加一层安全性。
您可以添加的另一层安全性是设置诸如 RSA SecureID 之类的东西,但我不确定这在您的设置中是否成本过高。