公共互联网上的 MSTSC RDP

不要忘记，入侵该服务器的入侵者也可以将其用作跳板来攻击防火墙后面的其他客户设施。因此，安全风险不仅仅局限于第一个客户的资产。

从供应商那里获得一些理由，说明他们为什么不能使用 VPN。如果真的没有替代 RDP 连接到服务器的替代方案，那么他们需要对通过该连接造成的任何安全漏洞负责。请记住，供应商刚刚承认其应用程序架构中存在安全漏洞，并表示该应用程序存在某些限制使用 VPN 的情况。

使访问以他们签署协议为条件，该协议对您因通过 RDP 连接的安全漏洞造成的任何损害进行赔偿。此外，您应该要求他们获得合适的专业赔偿或责任保险，或提供现有保险的证明以及涵盖这种情况的条款。

简而言之，让供应商证明他们有能力支付任何损害赔偿，并使他们的访问以合同义务为条件。

大多数对直接从 Internet 允许 RDP 有问题的人对入侵者直接查询您的目录/SAM 以进行身份​​验证的想法有一系列特定的担忧。如果没有适当的审计，这通常会被忽视。一旦他们成功获得了一个登录对，他们就可以不受限制地访问您的环境。微软对此的回应是在 Windows 2008 中以 TS-Gateway 的形式出现。TS-Gateway 服务创建的隧道点与建立 SSL VPN 隧道并没有什么不同。TS-Gateway 服务虽然仍共享同一个目录或 SAM 进行身份验证，但它提供了一组以前不存在的单独授权规则。用户和计算机级别的规则都可以设置来控制在通过 TS-Gateway 身份验证后您可以使用哪些资源。

我还实现了 TS-Gateway 访问用户与有权访问内部服务器的用户是一个单独的帐户。TS-Gateway 帐户具有更高的密码到期和锁定。这为那些偏执于直接通过授权的人提供了一层。它也适用于具有特定业务策略的组，这些策略将 DMZ 系统作为内部域的成员。

到目前为止，我对 TS-Gateway 的最大问题（与其他问题一样）是它缺乏对初始网关连接的双因素身份验证选项的支持。第二大问题是缺乏对 TS-Gateway 的客户端支持。

但是，在您的情况下，假设您的外部供应商同意使用符合 6.1 的 RDP 客户端，并且您在设置适当的 TS-Gateway 服务器时要小心，那么请求应该构成威胁的理由应该不大。

即使 RDP 配置为使用加密，您仍然允许直接访问您的服务器。如果您有防火墙并且只允许您的供应商 IP 连接到 RDP 端口，那可能没问题，但如果您从任何 IP 将其保持打开状态，那么如果 RDP 每天出现安全问题，就会很危险。

我建议使用具有 WEB SSL VPN 访问权限的 VPN 网关，例如 Cisco ASA。然后，Web 门户允许将端口转发到远程服务器，或者更好的是，您可以在门户上运行 RDP 小程序（directx 或 java）。此解决方案更安全，并且无需在供应商计算机上安装任何 vpn 客户端即可工作。它只需要一个支持 SSL 和 Java 或 DirectX 的浏览器

我知道问题已得到解答，但如果您需要解决问题，这里有一些指导。首先，如果您可以选择，请考虑使用 TS 网关。此知识库文章中的信息：

远程桌面连接（终端服务客户端 6.0）

另一种选择是使用防火墙映射端口，使其不是众所周知的 TCP/3389 端口。您希望避免会被典型扫描命中的众所周知的端口。

如何更改远程桌面的侦听端口

我听说有一项专门针对 Windows 2008 R2 的新技术，即所谓的“直接访问”，它本质上是基于 SSL 的 VPN 构建到操作系统中，我认为它需要 Windows 2008 R2 和 Windows 7 作为客户端，但它是另一种选项，并且可能比投资 F5 或 Cisco 等其他解决方案更便宜。

技术概述

就您至少使用 RDP 6.0 而言，我认为它没有坏处。我的一些 TS 服务器可以从 Internet 公开访问，但只允许 6.0+ 安全性（在 XP 上也使用 TLS）。