web-dev-qa-db-ja.com

リモートデスクトップマシンのセキュリティを強化します-2FAを使用するか、LAN接続のみに制限しますか?

W10 ProマシンにWindowsリモートデスクトップをセットアップすることを検討しています。

接続のセキュリティを強化し、次のいずれかが可能かどうか疑問に思っています。

  • マシンを物理的に使用するときにログインに使用するユーザー名とは異なるパスワード。この方法では、ランダムに生成された文字列を使用できます。これは、ダイヤルアウトコンピューターから一度に入力できます。

  • 2要素認証。

  • すべての着信接続を同じLAN上のマシンのみに制限します。

ホストに接続する3台のコンピューター(主にMac)があります。

これらのいずれか/すべてが可能ですか、そして私が見ているべき他のいくつかのものがありますか?

7
sam

記事 システム管理者向けのリモートデスクトップ(RDP)のセキュリティ保護 には、これらのヒントがリストされています。

  • 強力なパスワードを使用する
  • ソフトウェアを更新する
  • ファイアウォールを使用してアクセスを制限する
  • ネットワークレベル認証を有効にする(Windows 10ではデフォルトで有効になっています)
  • リモートデスクトップを使用してログインできるユーザーを制限する(デフォルトはすべての管理者)
  • アカウントロックアウトポリシーを設定します(多くの誤った推測の後にアカウントをロックします)
  • リモートデスクトップのリスニングポートを変更します(デフォルトはTCP 3389)です)
  • VNCやPCAnywhereなどの他の製品を使用しないでください

2要素認証に関する質問については、これはWindows 10 Proには存在せず、Windows Serverにのみ存在すると思います。

記事 The 5 Best Alternatives to Google Authenticator は、無料のプランがある6つの製品(ただし、有料の製品も)をリストしています。GoogleAuthenticator、Authy、Duo、HDE OTP、Authenticator Plus、Sound Login Authenticator私はそのような製品を使用したことがないので、これらがあなたにとってどれほど役立つかわかりません。

5
harrymc

現在の情報に基づいて、私の推奨事項は次のとおりです。

  • SSHトンネルを設定すると、追加の認証レイヤーが得られ、別の username/password または公開鍵認証ログインします。 また有効にするobfuscation、完全に異なるpassword、あなたが欲しかったように。このようにすると、トラフィックを監視している誰かがSSHであることを確認することも困難になります。接続するには、パスワードと、設定したSSHログインが必要になります。さらに、暗号化されたRDPトラフィックをトンネリングしていることを確認してください。

    Windowsマシンでは、 install Bitvise SSH Server およびMacs難読化サポートを組み込みOpenSSHに追加できます ZesLauによるパス
  • 2FA 可能性があります可能ですが、簡単でも無料でもありません。 組み込みのスマートカードログオンrequiresWindows Active Directoryドメインですが、スタンドアロンコンピュータ用のサードパーティソリューションがあります。 EIDAuthenticate サポート[〜#〜] rdp [〜#〜]およびfree /で利用可能オープンソースバージョンですが、Homeエディションのみ(まだ、は考えています「家庭用プログラム」についてですので、彼らに連絡することでその考えをスピードアップできます)。しかし、あなたの場合、それはWindows専用であり、Macから接続するので、それだけでは不十分かもしれません。
  • LANへの着信接続を制限することは、Windows Firewallで簡単に行うことができます。
  • strong passwordsupdatingなどの一般的なことは、もちろんすべてのコンピュータで実行する必要があります。ユーザーアカウントと管理者アカウントを別々にするをお勧めします。また、(権限のない)ユーザーアカウントのみがRDP経由でログオンできるようにする、そのため、管理者アカウントはローカルにログオンする必要があります。
  • 次に検討するのは、接続するクライアントのセキュリティです。それらが侵害された場合、すべてあなたが設定した他のものはあまり役に立ちません。しかし、私は一般的なセキュリティ原則について話しているので、詳細については触れません。
3
PatrikN

このシナリオは、最大40ユーザーまで無料のRCDevsのWebADMで可能です。

  1. マシンを物理的に使用するときにログインに使用するユーザー名とは異なるパスワード。

はい、WebADMはLDAP、ActiveDirectoryを使用しています...したがって、別のユーザー名/パスワードを使用できます。

  1. 2要素認証。

はい、TOTP、ハードウェア/ソフトウェアトークン付きのHOTP、電子メール、SMSを使用できます。

  1. すべての着信接続を同じLAN上のマシンのみに制限します。

はい、クライアントポリシーを定義できます。

  1. ホストに接続する3台のコンピューター(主にMac)があります。

はい、WindowsまたはOSX用の資格情報プロバイダープラグインをオフライン認証でインストールできます。

1
William