私は小さな(100〜150人の従業員)企業で働き始めたところです。私は、誰でも正しいドメインを使用してリモートサーバーにリモートアクセスできることに気づきました。これは、会社名とサーバーの名前に基づいて推測するのが非常に簡単です。
RDPはファイアウォールやVPNの背後にないため、a)アドレスを知っていて、b)ユーザーアカウントを知っている人なら誰でもアクセスできます。これは大きなセキュリティリスクですか?
RDPにはブルートフォース攻撃に対する組み込みの保護機能があると思いますが、誰かが不正アクセスを取得する方法は他にありますか?
VPN経由でのみRDPにアクセスできるようにプッシュする必要がありますか?
ありがとうございました。
私の最初の理解はパスワードとドメインの両方が簡単に推測できることだったので、編集された回答。
公衆インターネットに公開されているRDPポートは不必要に危険であり、提案されたVPNの背後に配置するためにできる限りの手順を実行する必要があります。パスワードは簡単には推測できませんが、公共のインターネットからパスワードを削除すると、攻撃者がパスワードを推測する機会がまったくなくなります。
RDPには、セキュリティの脆弱性に関する優れた履歴がありません。古いバージョンを実行している場合は、悪用される可能性が高く、現在のバージョンが現在未知の悪用に対して脆弱ではないという保証はありません。
オープンインターネット上で適切にセキュリティ保護されたRDPポートを公開することは、攻撃者がネットワークに侵入することを保証するものではありませんが、そのリスクは高く、不必要です。私の頭の上には、VPNアクセスはないがそのネットワーク上のサーバーへのRDPアクセスはあるというユースケースは想像できません-十分な理由がない限り、RDPポートは背後にある必要がありますVPN。
基本的に、あなたの質問は「安全性を確保するためにどのシステムに信頼を置くべきか:Windows RDP、または[vpnアプライアンスx]?」です。答えを主張するのが難しいのは、Windows RDPがそれが最前線でインターネットに面したセキュリティがないかなり複雑なユーティリティであることを考慮していることです(たとえば、この掲示板を参照してください: https://docs.Microsoft.com/en-us/security- updates/securitybulletins/2015/ms15-067 )これらの種類のバグ以外では、ブルートフォース保護に関する質問には、実際には固有のものはありません。ドメイン(うまくいけばあなたが持っている)。
最後に、これら(およびその他の理由)のために、マイクロソフトは、完全にラップされたVPN以外の保護メカニズムが必要な場合に「より安全」と見なされる追加のレイヤーを提供するRDPゲートウェイツールセットを特別に開発しました。