Restringir o acesso ao Windows Terminal Services com clientes de endereço IP dinâmico

Fora de uma solução VPN, que é a melhor solução, obviamente.

Eu tive clientes no passado que insistem na melhor segurança possível sem dinheiro, LOL, parece redicules eh.

De qualquer forma, além de senhas muito strongs, como você diz, altere o número da porta que o Terminal Server atende. Todo mundo sabe que a porta 3389 é o Terminal Server, mude-o para algo obscuro, você pode fechar essa porta no firewall e abrir a nova, torná-la algo muito alto no intervalo de portas, como 9000, para não ser digitalizada durante uma simples varredura de porta de fora da sua rede.

Depois disso, clique aqui link e execute o teste, você não verá a porta dos servidores de terminal no lista, esperamos que você não veja nada, exceto o seu servidor de email, se você tiver um

Dê uma olhada na configuração de um "Terminal Services Gateway" ou acho que o servidor 2008R2 chama de Gateway de Área de Trabalho Remota. Você configura uma Internet voltada para o servidor IIS para atuar como um gateway de preferência em uma DMZ fora do seu firewall. Os clientes entram em contato com o servidor com segurança por HTTPS, garantidos por um certificado assinado por uma autoridade de certificação pública confiável. Esse servidor pode, por sua vez, verificar se um servidor de políticas está habilitado para se conectar e pode até mesmo fazer uma verificação de integridade para qualificar qual tipo de sessão RDP é permitida e, em seguida, canaliza o RDP para o servidor de destino real. Você pode ter uma política que diga apenas as máquinas de domínio, ou as máquinas com um certificado que você exportou têm permissão para se conectar.

FYI, esta solução leva tempo, esforço e provavelmente um pouco de dinheiro, mas é EXTREMAMENTE útil. Não é compatível com o cliente Mac OSX RDP da Microsoft há 6 meses.