रिमोट डेस्कटॉप सर्वर का सामना करने वाले सार्वजनिक को कैसे सुरक्षित करें?

16

मैं अपने दूरस्थ डेस्कटॉप सर्वर (टर्मिनल सेवा) को हमारे नेटवर्क के बाहर से एक्सेस करने के लिए उजागर करने की आवश्यकता देख रहा हूं। अभी, इसे केवल हमारे नेटवर्क के अंदर से ही एक्सेस किया जा सकता है।

मुझे पता है कि फ़ायरवॉल को खोलना और पोर्ट को फॉरवर्ड करना काफी आसान है।

हालाँकि, मैं स्वयं मशीन को कैसे सुरक्षित कर सकता हूँ और इसके आस-पास की सर्वोत्तम प्रथाएँ क्या हैं? मेरी चिंता हैकर्स के लिए इसे तोड़ने में काम करने में सक्षम है।

किसी भी सर्वोत्तम अभ्यास दिशानिर्देश / सिफारिशों की बहुत सराहना की जाएगी।

संपादित करें:

एक उत्पाद के बारे में प्रश्न जो मैंने पाया:

आईपी, मैक पते, कंप्यूटर नाम और अधिक द्वारा आने वाले आरडीपी कनेक्शन फ़िल्टर करें

क्या कोई इस की सुरक्षा पर टिप्पणी कर सकता है? लगता है कि मैं इसका उपयोग मशीन के नाम / मैक द्वारा पहुंच को सीमित करने के लिए भी कर सकता हूं? किसी और ने इसका इस्तेमाल किया?

security  remote-desktop 
me2011
स्रोत
1
मुझे लगता है कि आप न केवल इस मशीन और किसी भी आरडीपी कनेक्शन को सुरक्षित करने के लिए कह रहे हैं, बल्कि यह भी कि आपके नेटवर्क के बाकी हिस्सों के जोखिम को कैसे कम किया जाए। क्या वह सही है?
dunxd
हाँ सही है, हम कितने छोटे हैं, केवल एक आरडीपी सर्वर है और इसे आंतरिक उपयोगकर्ताओं के लिए पूर्ण डेस्कटॉप एक्सेस / नेटवर्क संसाधनों की आवश्यकता है।
me2011

जवाबों:

14

यह आपके द्वारा किए जा रहे काम से अधिक हो सकता है, लेकिन यहां हम RDP का उपयोग उन दूरस्थ उपयोगकर्ताओं के लिए करते हैं जो वीपीएन का उपयोग नहीं कर रहे हैं।

हमने हाल ही में विंडोज डेस्कटॉप में भूमिका के साथ रिमोट डेस्कटॉप सर्विसेज के साथ आरडी गेटवे मैनेजर का उपयोग करना शुरू कर दिया है। हमारे पास हमारे टीएमजी सर्वर और सीधे एक उपयोगकर्ता मशीन के माध्यम से जाने के लिए सेटअप है। जैसा कि ऊपर बताया गया है, यह एनएलए का उपयोग करता है। कनेक्ट करने वाले उपयोगकर्ता को सही AD समूह का सदस्य होना चाहिए, और सही स्थानीय समूह के सदस्य को अनुमति दी जानी चाहिए। आप इसे कैसे सेट करना चाहते हैं इसके आधार पर, आप एक वेबपेज के माध्यम से कनेक्ट कर सकते हैं, जो मूल रूप से mstsc को खोलता है और RD गेटवे के लिए प्रॉक्सी सेटिंग को इनपुट करता है, या आप अपनी मशीन पर सेटिंग्स को मैन्युअल रूप से सेट कर सकते हैं ताकि हर बार जब आप इसे खोलने का प्रयास करें उस प्रॉक्सी के माध्यम से। अब तक इसने काफी अच्छा काम किया है और यह सुरक्षित लगता है।

डॉन
स्रोत
3
इसके लिए +1। मैं बड़ी सफलता के साथ आरडी गेटवे का भी उपयोग करता हूं, और आपको काम करने के लिए केवल इंटरनेट पर पोर्ट 443 को उजागर करने की आवश्यकता है। आरडी गेटवे कुछ हफ्तों पहले उस MS12-020 बग के लिए अतिसंवेदनशील नहीं था जिसने आरडीपी को धमकी दी थी।
रयान रेज़
+1 वहां आरडी गेटवे की तुलना में बहुत कम बॉट्स हैं जो प्रत्यक्ष आरडीपी हैं।
अनुदान
8

जैसा कि हाल के इतिहास ने हमें दिखाया है, प्रोटोकॉल को उजागर करने के लिए अंतर्निहित जोखिम हैं। लेकिन, सिस्टम की सुरक्षा के लिए कुछ कदम हैं:

  • नेटवर्क स्तर प्रमाणीकरण लागू करें।
  • कनेक्शन एन्क्रिप्शन लागू करें।
  • उपयोगकर्ताओं को टर्मिनल सेवाओं को पूर्ण न्यूनतम में लॉग इन करने की अनुमति दें, और डिफ़ॉल्ट डोमेन Administratorखाते जैसे "विशेष" खातों या आदर्श रूप से किसी अन्य उच्च विशेषाधिकार खातों की अनुमति न दें ।
  • सुनिश्चित करें कि पासवर्ड उन खातों पर मज़बूत हैं जिन्हें लॉग इन करने की अनुमति है। इस बात पर निर्भर करता है कि कितने उपयोगकर्ता और आपकी नीतियाँ अभी कैसी दिखती हैं, लेकिन हैश को डंप करना और उन्हें क्रैक करने का प्रयास करना, पासवर्ड की लंबाई की सीमा को कम करना, या केवल उपयोगकर्ताओं को शिक्षित करना है। अच्छा दृष्टिकोण।
शेन मैडेन
स्रोत
6

मैं दूरस्थ डेस्कटॉप गेटवे सेवा का उपयोग करने का दृढ़ता से सुझाव देता हूं। यह आपको एक जगह देता है जहां आप नीतियों को लागू कर सकते हैं कि कौन कहां से क्या कनेक्ट कर सकता है। यह आपको लॉगिंग के लिए एक अच्छी जगह देता है, इसलिए आप देख सकते हैं कि कौन आपके खेत में व्यक्तिगत सर्वर के ईवेंट लॉग का निरीक्षण किए बिना लॉगिन करने का प्रयास कर रहा है।

यदि आपने इसे पहले से नहीं किया है, तो सुनिश्चित करें कि आपके खाते की लॉकआउट नीतियां बहुत मजबूत हैं। एनएलए और गेटवे के साथ भी आरडीपी लोगों को पासवर्ड मजबूर करने के प्रयास के लिए कुछ देता है। एक मजबूत तालाबंदी नीति बहुत हद तक जानवर बल के सफल होने के प्रयासों को मुश्किल बना देती है।

सिस्टम पर मान्य एसएसएल प्रमाणपत्र सेट करें, इसलिए यदि कोई किसी प्रकार के MITM हमले करने की कोशिश कर रहा है तो ग्राहक अंतिम उपयोगकर्ताओं को सूचित करेगा।

Zoredache
स्रोत
3

यह बहुत सुरक्षित नहीं है, जो भी हो, सुरक्षा को मजबूत करने के कुछ तरीके हैं।

उस सर्वर से इंटरनेट का उपयोग न करें। जब यह आपके सिस्टम से समझौता करता है तो कई अधिक गंभीर मैलवेयर अपने कमांड और कंट्रोल सर्वर पर वापस संचार करने का प्रयास करते हैं। डिफ़ॉल्ट रूप से आउटबाउंड एक्सेस को अस्वीकार करने के लिए फ़ायरवॉल एक्सेस नियम को कॉन्फ़िगर करना, और केवल आंतरिक / ज्ञात नेटवर्क और आरएफसी 1928 सबनेट तक आउटबाउंड एक्सेस की अनुमति देने के लिए एक नियम जोखिम को कम कर सकता है।

स्मार्ट कार्ड या किसी अन्य प्रकार के दो-कारक प्रमाणीकरण का उपयोग करें। यह आम तौर पर महंगा है और मुख्य रूप से बड़े संगठनों में पाया जाता है, हालांकि विकल्प में सुधार हो रहा है (PhoneFactor को ध्यान में आता है)। ध्यान दें कि स्मार्ट कार्ड की आवश्यकता प्रति सर्वर पर हो सकती है, इसे खाता स्तर पर कॉन्फ़िगर करने के विकल्प के रूप में किया जा सकता है।

एक परिधि नेटवर्क को कॉन्फ़िगर करें, दूरस्थ डेस्कटॉप सर्वर को परिधि में रखें, और पहुंच प्रदान करने के लिए एक सस्ती वीपीएन का उपयोग करें। एक उदाहरण हमाची होगा। ध्यान दें कि एक परिधि नेटवर्क से इंटरनेट का उपयोग करना भी एक अच्छा अभ्यास है।

यदि संभव हो, तो एक पूर्ण डेस्कटॉप प्रदान न करें, लेकिन उन अनुप्रयोगों को प्रकाशित करें जिनकी उन्हें आवश्यकता है। यदि किसी को केवल एक ही एप्लिकेशन तक पहुंच की आवश्यकता होती है, तो "प्रारंभिक प्रोग्राम" को कॉन्फ़िगर करना भी संभव है, जो एक साधारण आवरण खोल हो सकता है जो एप्लिकेशन बंद होने पर लॉगऑफ़ लागू कर सकता है।

ग्रेग अस्का
स्रोत
1

मैं निम्नलिखित उपाय सुझाऊंगा:

  1. दूरस्थ डेस्कटॉप कनेक्शन के लिए उपयोग किए जाने वाले पोर्ट को बदलें
  2. सामान्य उपयोगकर्ता नाम का उपयोग न करें लेकिन एक अधिक जटिल नामकरण नीति
  3. उच्च पासवर्ड आवश्यकताओं
  4. बाहर से किसी अन्य अप्रयुक्त पोर्ट को बंद करें (इनबाउंड)

ऐच्छिक

  1. एक वीपीएन (CISCO, ओपन वीपीएन आदि) का उपयोग करें फिर आंतरिक आईपी का उपयोग करके सर्वर से कनेक्ट करें।
  2. यदि संभव हो तो स्मार्ट कार्ड लॉग का उपयोग करें
एलेक्स एच
स्रोत
मैं फ़ायरवॉल पर पोर्ट को बदलने की कोशिश करता हूं, सर्वर पर नहीं (सर्वर पर इसे करने के लिए रजिस्ट्री में बदलाव की आवश्यकता होती है)। आमतौर पर राउटर पर एक पोर्ट को आगे सेट करना आसान होता है, और सुरक्षित (कोई रजिस्ट्री स्पर्श नहीं)।
JohnThePro
यप :), मैंने सिर्फ यह कहा कि क्योंकि कुछ लोगों को उपयोगकर्ता पोर्ट अग्रेषण तक पहुंच या ज्ञान नहीं है। भले ही यह आवश्यक नहीं है जब तक रजिस्ट्री को बदलने की सिफारिश नहीं की जाती है, तब भी मेरे पास कोई मुद्दा नहीं था। यदि आप इसे पहले से ही उपयोग किए गए पोर्ट में बदल देते हैं तो केवल एक ही समस्या आ सकती है।
एलेक्स एच।
हाँ, मेरा मतलब है कि यह दुनिया में सबसे बड़ा सौदा नहीं है, और जो कोई भी regedit जानता है वह शायद सावधान रहने के लिए पर्याप्त स्मार्ट है .... लेकिन आप यह नहीं जान सकते। :)
जॉन --प्रो
1

आप पोर्ट 22 पर WinSSHD चला सकते हैं और फिर आपके लिए एक सुरंग बनाने के लिए टनलियर क्लाइंट का उपयोग कर सकते हैं और एक क्लिक के साथ सुरंग के माध्यम से स्वचालित रूप से एक टर्मिनल सेवा सत्र खोल सकते हैं। यह आपको फ़ाइलों को स्थानांतरित करने के लिए एक बहुत अच्छा सुरक्षित एफ़टीपी विकल्प भी देता है।

djangofan
स्रोत
1

मैं इन चीजों के लिए ssh पोर्ट अग्रेषण का उपयोग करता हूं, और केवल उपयोगकर्ता स्तर, सार्वजनिक कुंजी आधारित प्रमाणीकरण की अनुमति देता हूं। सभी उपयोगकर्ता निजी कुंजियों को भी एन्क्रिप्ट किया जाना चाहिए। विंडोज पर पोटीन यह अच्छी तरह से करता है, और पेजेंट उपयोगकर्ताओं के लिए अपनी कुंजी लोड करना आसान बनाता है। यदि आप कोई लिनक्स / बीएसडी सर्वर नहीं चलाते हैं जो डिफ़ॉल्ट रूप से ssh है तो आप ऐसा करने के लिए CySS में OpenSSH का उपयोग कर सकते हैं।

मैं एक स्थानीय फ़ायरवॉल के साथ एक समर्पित रिमोट शेल सर्वर की सलाह देता हूं, जिन चीजों को आप लोगों को नहीं बताना चाहते हैं, क्योंकि एसएसएच में पोर्ट फॉरवर्डिंग की अनुमति मूल रूप से किसी भी आंतरिक सर्वर / पोर्ट को उन उपयोगकर्ताओं के लिए खोलना है जो आप चाहते हैं।

जॉन जोब्रिस्ट
स्रोत
1

Bitvise SSH विंडोज के लिए एक अच्छा फ्री SSH है।

मैं ग्राहक से इंटरनेट गेटवे परिधि के लिए सस्ती उपयोग से अधिक सस्ते एसएसएल वीपीएन समाप्ति के लिए जाऊंगा (उदाहरण के लिए वाणिज्यिक इन-कॉन्फिडेंस)।

RDP को सुरक्षित रखने के बारे में उपरोक्त पोस्ट भी अच्छी प्रैक्टिस है और यह हमेशा किया जाना चाहिए यदि आप अपने कंप्यूटर को फ्रीलायटर्स के साथ साझा नहीं करना चाहते हैं।

मर्जी
स्रोत
0

नहीं वास्तव में सबसे अच्छा अभ्यास लेकिन कुछ यादृच्छिक विचार:

  • अपने सिस्टम को अपडेट रखें - स्वचालित अपडेट की अनुमति दें, उन उत्पादों का उपयोग न करें जो जीवन के अंत हैं,
  • सभी सिस्टम खातों के लिए लंबे / जटिल पासवर्ड का उपयोग करें
  • मैं यहाँ 'अश्लीलता के माध्यम से सुरक्षा' का सुझाव देने के लिए डाँटा हूँ, लेकिन यह आपको कोई नुकसान नहीं पहुँचाएगा अगर आप:
    • डिफ़ॉल्ट 3389 / tcp पोर्ट को 26438 / tcp जैसे किसी और चीज़ में बदलें
    • फ़ायरवॉल स्तर पर पोर्ट- नॉकिंग [यदि संभव हो तो] जोड़ें ताकि संभावित rdp उपयोगकर्ता को पहले किसी वेब पेज पर जाना पड़े और उसके बाद ही आपके सर्वर पर rdp आ सके।
pQd
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.