Aumentar a segurança da máquina desktop remota - use 2FA e / ou limite apenas para conexão LAN?

7

Estou pensando em configurar a área de trabalho remota do Windows em uma máquina W10 Pro.

Gostaria de aumentar a segurança na conexão e ficar imaginando se algum dos itens a seguir é possível:

  • Uma senha, diferente do nome de usuário usado para efetuar login ao usar a máquina fisicamente. Desta forma, poderia usar uma string gerada aleatoriamente que eu poderia inserir uma vez a partir do computador de discagem.

  • 2 autenticação de fator.

  • Limite todas as conexões de entrada para máquinas somente na mesma LAN.

Haverá 3 computadores que se conectarão ao host, principalmente Macs.

Existe alguma / todas estas possíveis e há outras coisas que eu deveria estar olhando?

    
por sam 11.02.2018 / 19:24

3 respostas

4

O artigo Protegendo a área de trabalho remota (RDP) para o sistema Administradores lista estas dicas:

  • Use senhas strongs
  • Atualize seu software
  • Restringir o acesso usando firewalls
  • Ativar autenticação no nível da rede (ativado por padrão para o Windows 10)
  • Limitar usuários que podem fazer login usando a Área de Trabalho Remota (o padrão é todos os administradores)
  • Definir uma política de bloqueio de conta (bloquear uma conta após um número de palpites incorretos)
  • Alterar a porta de escuta para a Área de Trabalho Remota (o padrão é TCP 3389)
  • Não use outros produtos como VNC ou PCAnywhere

Para sua pergunta sobre autenticação de dois fatores, Eu não acredito que isso exista no Windows 10 Pro, somente no Windows Server.

O artigo As 5 melhores alternativas para o Google Authenticator lista seis produtos que têm um plano livre (mas também pagos): Autenticador Google, Authy, Duo, OTP HDE, Autenticador Plus, Autenticador de Login de Som. Eu nunca usei esses produtos, então não sei como são úteis para você.

    
por 20.02.2018 / 15:12
3

Com base nas informações atuais, minhas recomendações são:

  • Ao configurar um túnel SSH , você obtém uma camada extra de autenticação, onde você pode usar outro nome de usuário / senha ou autenticação de chave pública para fazer o login. Você pode também ativar ofuscação , com uma senha completamente diferente, como você queria. Dessa forma, você também torna mais difícil para alguém monitorar o tráfego até mesmo para ver se é SSH - e para se conectar, ambos precisam dessa senha e do login SSH que você configurou. Acrescente a isso, que está tunelando o tráfego RDP, que também é criptografado.

    Na máquina Windows você pode instalar Servidor Bitvise SSH e em os Macs , você pode adicionar suporte a obfuscação ao OpenSSH integrado com alguns pathes por ZingLau .
  • 2FA pode ser possível, mas não será fácil nem gratuito. O logon de smart card integrado requer um domínio do Windows Active Directory , mas existem soluções de terceiros para computadores autônomos. O EIDAuthenticate suporta RDP e está disponível em um livre aberto versão de código-fonte, mas somente para edições domésticas (ainda, eles estão pensando em um "programa de uso doméstico" , portanto, entrar em contato pensando). Mas no seu caso pode não ser suficiente, já que é apenas para Windows e você se conecta a partir de um Mac.
  • Limitando as conexões de entrada para a LAN, pode ser feito facilmente no Firewall do Windows .
  • Itens gerais como senhas strongs e atualização todos os computadores devem ser feitos, é claro. Também recomendo ter contas de usuário e administrador separadas e permitir somente que as contas de usuário (sem privilégios) façam logon via RDP , para que a conta do administrador faça logon localmente. / li>
  • A próxima coisa que eu veria seria a segurança nos clientes que se conecta, porque se eles estiverem comprometidos , todas as outras coisas que você configurou < em> não ajuda muito . Mas eu estou falando sobre os princípios gerais de segurança, então não vou entrar em detalhes com isso.
por 21.02.2018 / 22:55
0

Este cenário é possível com o WebADM de RCDevs, que é até gratuito para 40 usuários.

  1. Uma senha, diferente do nome de usuário usado para efetuar login ao usar a máquina fisicamente.

Sim, o WebADM está usando LDAP, ActiveDirectory ... Assim, você pode usar um nome de usuário / senha diferente.

  1. Autenticação de dois fatores.

Sim, você pode usar TOTP, HOTP com Hardware / Software Token, e-mail e sms.

  1. Limite todas as conexões de entrada para máquinas na mesma LAN apenas.

Sim, você pode definir a política do cliente.

  1. Haverá 3 computadores que se conectarão ao host, principalmente Macs.

Sim, você pode instalar o Credential Provider Plugin para Windows ou OSX com autenticação offline.

    
por 17.09.2018 / 17:55