デスクトップをサーバーにリモート接続できるコンピューターを制限する
リモートデスクトップ 接続によってアクセスされる Windows Server 20 コンピューターがあります。サーバーにアクセスするために知っておく必要があるのは、コンピューターのIPアドレスだけです。
Windowsサーバーコンピューターにアクセスできるコンピューターを、許可されたコンピューターのみに制限したいと思います。許可されたコンピューターには静的IPアドレスがないため、IPアドレスに基づいて制限することはできません。 MACアドレス に基づいて制限できますか? TeamViewer や LogMeIn などのサードパーティソリューションを使用してもかまいません。
どうすればこの問題を解決できますか?
TeamViewer で可能な解決策を見つけました。 TeamViewerは、インストールされているコンピュータの一意のパートナーIDを作成します。許可されたパートナーIDのみがコンピューターにアクセスできるようにするオプションがあります。問題が解決しました。
ほとんどすべての場合、マシン制御を要求する代わりに、ユーザー+グループ[および|または]証明書認証を使用することになります。 cmbrntが言及した内容を明確にするために: LogMeIn 、これは依然としてユーザーベースの認証構成であり、接続を試行できるクライアントコンピューターを指定していません。
制御するホストにLogMeInソフトウェアをインストールしてから、LogMeIn Webサイト(ユーザー認証)にログインして、どこからでもそのホストへの接続を試行します。その後、そのマシン(またはドメイン)に対して再度認証します。
したがって、LogMeInはRDPに穴を開けるよりも安全です。これは、公開されたサービスがなく、両方の接続(クライアント<-> LogMeIn <-> Host)はセキュリティで保護された接続を介しています。必要に応じて使用できる3番目の「ホストパスワード」オプション、IIRCもあります。
LogMeInには、接続の試行元をフィルタリングする機能もあると思いますが、IPアドレスによるフィルタリングであるため、おっしゃるように機能しません。
Logmeinはあなたに代わってこれを行うことができるので、あなたはそこであなた自身の質問に答えました。基本的に、サーバーにクライアントをインストールし、そのクライアントを介してlogmeinにログインします。これにより、安全なパスワードが必要になるため、アクセスできるコンピューターが制限されます。それには、logmeinを信頼する必要がありますが、それができると確信しています。
MACアドレスに基づいてルールを設定できる高度なファイアウォールを構成することを除いて、一般的なRDPを使用してこれを行う方法がわかりません。ただし、ルーターを通過するときに送信元MACアドレスがTCP/IPパケットから削除されるため、接続元のコンピューターをサーバーと同じスイッチに配置する必要があります。
通常、RDPでは、これをマシンごとではなくユーザーごとに行います。リモートデスクトップ接続を許可するようにサーバーを構成すると、デフォルトでは、そのコンピューターのAdministratorsグループのみがサーバーにアクセスできます。許可するユーザーまたはグループを具体的に追加する必要があります。