ユーザーがリモート デスクトップ経由でサーバーに接続できるようにすることは、重大なセキュリティ上の欠陥ですか? 現在、RDPポート経由で接続できるIPアドレスをいくつか許可するセットアップがありますが、これを削除してすべてのIPを接続できるようにすることを考えています。私は家にいません。
私が安全なパスワードを持っている限り、これは悪い考えだと思いますか? もう少し安全にするためにできることはありますか?それでも「どこからでも」接続できますか?たとえば、「誰でも 2 時間ログインできるようにする」必要があるページを設定することは可能ですか。あいまいさによるある種のセキュリティ?
私が得ることができる助けに感謝します。
これはセキュリティ上の欠陥ですが、それほど大きなものではありません。トラフィックは暗号化されており、そこからのユーザーまたはパスワードの読み取りは、ftpなどのテキストベースのプロトコルのように即時ではありません。sshよりも少し安全性が低くなります。
明らかに、他のリモートアクセスと同じ欠陥があります(ブルートフォースまたはDOS攻撃の可能性があります)。また、攻撃者のタスクが単純化されないように、デフォルト以外のアカウント名を使用する必要があります。
あるページにアクセスした後でのみアクセスを開くというあなたの考えも悪くありません。これは、従来のポートノッキングメカニズムの変形のように見えます(ただし、大きな穴を開けないように注意してください)。
おそらく、この質問をserverfaultに投稿する必要があります。とにかく。
アクセス方法としてユーザー/パスワードのみを使用している場合。そうすれば、攻撃者があなたのユーザー (または端末アクセス権を持っている必要さえないすべてのユーザー) をロックするのは非常に簡単になります。そうです、それは大きなセキュリティ上の欠陥になります。この扱いから保護し、rdp をどこからでも利用できるようにする方法はたくさんあります。しかし、私はそれらのどれにも精通していません。
企業サーバーへのリモート アクセスに 2 要素認証を実装することは非常に一般的です。多くの企業では、RSA トークンが 2 番目の要素として使用されていますが、私は SMS を使用することを好みます --- 2 つの要素が関係している限り、問題ではありません。それは。
あなたの会社が第 2 要素を実装したくない場合でも、RDP インターフェイスを公開することはお勧めしません。ブルート フォース攻撃、OS エクスプロイト、または単純な古いサービス拒否 (パブリック インターフェイスをトラフィックで爆発させると、社内での正当なマシンの使用が遅くなります) に対してオープンです。少なくとも、クライアント側の証明書認証を使用して、SSH を介したトンネリングを検討するか、最初にサーバー インターフェイスにアクセスするためにポート ノッキングを実装します。