web-dev-qa-db-ja.com

Microsoftリモートデスクトップでは、VPNを保護する必要がありますか?

ホームWindows 7マシンからホストサーバーWindows Server 2008 R2に接続しています。デフォルト以外のポートでリモートデスクトップを使用して接続しています。
リモートデスクトップアクセス用のVPN接続をOpenVPNのようなもので設定する作業に取り掛かるべきかどうか疑問に思っています。私はセキュリティの専門家ではありません。ホストしているサーバーへの接続をできる限り安全にしたいと思っています。

10
Mark Allison

セキュリティの場合と同様に、その答えは「たぶん」です。理論的には、正しく設定されていて、システムを最新の状態に維持している場合、RDPは実際には非常に安全です。おそらく最も安全なシステムではありませんが、ほとんどの用途で十分安全であると見なすことができます(必要に応じて拡張できます)。

RDPで発生する最初の最も関連する問題は、管理者アカウントに対するDOSの可能性です。これは簡単に理解できます。ログオンの失敗回数に制限を設定した場合、誰かがアカウントへのアクセスを試み続け、ロックされたままにすることができます。 unixでは、fail2banを使用してそれが起こらないようにしますが、ウィンドウには同等の機能がありません(ただし、スクリプトから同じことを行う本格的な商用プログラムまで、多くの解決策があります)。別の簡単な解決策は、最初にRDPへの接続を許可するIPアドレスの範囲を制限するか、ユーザーに最初にVPNを経由させることです。別のオプションは、IPSecを使用することです。さらに別の(より優れた)ソリューションは、システムに2要素認証を追加することです。RDP接続にスマートカードを使用するように強制すると、設定が少し難しい場合でも、認証プロセス全体が非常に安全になります。

発生する2番目の問題は、接続のセキュリティです。 RDPを正しくセットアップした場合(つまり、サーバー証明書を正しくセットアップした場合、ネットワークレベルの認証を強制し、RDP over TLSを使用している場合)、リスクはほとんどありません。

この上にVPNレイヤーを追加しても、全体的なセキュリティはそれほど向上しません。別のマシンから実行していると仮定すると、セキュリティが徹底的に向上するため(最終マシンを危険にさらすために、1つではなく2つのシステムを破壊する必要があるため)、追加する価値がありますが、インストールしている場合同じシステム上のすべてのもの、つまり、脆弱性を悪用する別の潜在的な方法を追加することにより、システムの脆弱性の領域を実際に増やします。

10
Stephane

自動化されたスキャナーやワームはポートを見つけることができないため、デフォルト以外のポートを使用することは一歩です。

2012年3月にリリースされたMicrosoftのセキュリティ情報MS12-020は、ほとんどのWindowsプラットフォーム(CVE-2012-0002)でのMicrosoftのRDP実装の重大な脆弱性を説明しているため、ネットワークレベル認証(NLA)を使用するようにRDP設定を構成することを検討してください Microsoftの提案による

ブルートフォース攻撃に対処するための強力なパスワードを忘れないでください 「Morto」のようなワームから

お役に立てれば幸いです^ _ ^

1
Alesanco