Aumentar a segurança da máquina desktop remota - use 2FA e / ou limite apenas para conexão LAN?

O artigo Protegendo a área de trabalho remota (RDP) para o sistema Administradores lista estas dicas:

• Use senhas strongs
• Atualize seu software
• Restringir o acesso usando firewalls
• Ativar autenticação no nível da rede (ativado por padrão para o Windows 10)
• Limitar usuários que podem fazer login usando a Área de Trabalho Remota (o padrão é todos os administradores)
• Definir uma política de bloqueio de conta (bloquear uma conta após um número de palpites incorretos)
• Alterar a porta de escuta para a Área de Trabalho Remota (o padrão é TCP 3389)
• Não use outros produtos como VNC ou PCAnywhere

Para sua pergunta sobre autenticação de dois fatores, Eu não acredito que isso exista no Windows 10 Pro, somente no Windows Server.

O artigo As 5 melhores alternativas para o Google Authenticator lista seis produtos que têm um plano livre (mas também pagos): Autenticador Google, Authy, Duo, OTP HDE, Autenticador Plus, Autenticador de Login de Som. Eu nunca usei esses produtos, então não sei como são úteis para você.

Com base nas informações atuais, minhas recomendações são:

• Ao configurar um túnel SSH , você obtém uma camada extra de autenticação, onde você pode usar outro nome de usuário / senha ou autenticação de chave pública para fazer o login. Você pode também ativar ofuscação , com uma senha completamente diferente, como você queria. Dessa forma, você também torna mais difícil para alguém monitorar o tráfego até mesmo para ver se é SSH - e para se conectar, ambos precisam dessa senha e do login SSH que você configurou. Acrescente a isso, que está tunelando o tráfego RDP, que também é criptografado.
  
  Na máquina Windows você pode instalar Servidor Bitvise SSH e em os Macs , você pode adicionar suporte a obfuscação ao OpenSSH integrado com alguns pathes por ZingLau .
• 2FA pode ser possível, mas não será fácil nem gratuito. O logon de smart card integrado requer um domínio do Windows Active Directory , mas existem soluções de terceiros para computadores autônomos. O EIDAuthenticate suporta RDP e está disponível em um livre aberto versão de código-fonte, mas somente para edições domésticas (ainda, eles estão pensando em um "programa de uso doméstico" , portanto, entrar em contato pensando). Mas no seu caso pode não ser suficiente, já que é apenas para Windows e você se conecta a partir de um Mac.
• Limitando as conexões de entrada para a LAN, pode ser feito facilmente no Firewall do Windows .
• Itens gerais como senhas strongs e atualização todos os computadores devem ser feitos, é claro. Também recomendo ter contas de usuário e administrador separadas e permitir somente que as contas de usuário (sem privilégios) façam logon via RDP , para que a conta do administrador faça logon localmente. / li>
• A próxima coisa que eu veria seria a segurança nos clientes que se conecta, porque se eles estiverem comprometidos , todas as outras coisas que você configurou < em> não ajuda muito . Mas eu estou falando sobre os princípios gerais de segurança, então não vou entrar em detalhes com isso.

Este cenário é possível com o WebADM de RCDevs, que é até gratuito para 40 usuários.

1. Uma senha, diferente do nome de usuário usado para efetuar login ao usar a máquina fisicamente.

Sim, o WebADM está usando LDAP, ActiveDirectory ... Assim, você pode usar um nome de usuário / senha diferente.

2. Autenticação de dois fatores.

Sim, você pode usar TOTP, HOTP com Hardware / Software Token, e-mail e sms.

3. Limite todas as conexões de entrada para máquinas na mesma LAN apenas.

Sim, você pode definir a política do cliente.

4. Haverá 3 computadores que se conectarão ao host, principalmente Macs.

Sim, você pode instalar o Credential Provider Plugin para Windows ou OSX com autenticação offline.