我们有一个运行终端服务器的 Windows Server 2008 Standard 机器,我们的团队成员通过路由器 (Linksys RV042) 中的防火墙规则从网络外位置连接到该终端服务器。出于安全原因,我们已将默认 TS 端口更改为未使用的高级端口号。
我们想添加一个额外的安全层,即与终端服务器无关且与用户登录凭据无关的用户名/密码质询。我不确定这是否可能。
我在这里要做的就像通过一个 htaccess 文件在 wordpress 安装的 wp-admin 目录上添加一个 Apache 密码挑战,它有自己的登录名。所以第一个身份验证机制是通过一个不运行第二个身份验证机制的服务。
任何想法我们可以如何做到这一点?
您的防火墙是否支持基于服务、规则或应用程序 (RDP) 对用户进行身份验证?
此外,更改服务器上的 RDP 端口如何使其更安全?任何扫描您的网络范围以查找侦听端口的人只会找到新端口,而不是找到默认端口。
您是否考虑过 Server 2008 终端服务网关?它将改进用于保护连接的加密,并为您提供对 RDP 的更大控制。
http://technet.microsoft.com/en-us/library/cc731264%28WS.10%29.aspx
您可以在自己的域中使终端服务器成为自己的域控制器。让主域信任 TS 域。让 TS 用户针对 TS 域进行身份验证。将 TS 域用户添加到所需的任何安全组。这样,如果您的 TS 受到威胁,您的主域管理员不会受到威胁,至少不一定。
VPN 也是您可能想要添加的额外安全层。
Linksys RV042路由器似乎支持 VPN 的终止。为什么不简单地要求您的客户首先建立到路由器的 VPN?
如果不能在路由器上设置 VPN,请在网络上设置另一台可以终止 VPN 的服务器。听起来您并不真的需要完整的 vpn,即使是简单的 SSH 隧道也可能就足够了。
您可以做的最好的事情是在每台服务器上启用网络级身份验证 (NLA),这需要用户在连接之前输入用户名/密码,并且可以通过 GPO 进行配置。
为了达到您所追求的效果,可能有一种方法可以在登录后操纵 Active Directory 给他们的特定用户的 Kerberos 票证的到期时间。如果没有,您可以创建一个单独的/特殊的用户帐户它的密码是否被某个地方的脚本定期更改;那么你可以要求用户“登录”到某个地方的一个小网络应用程序,在需要时为他们提供最新的密码。