¿Está el Escritorio remoto a estaciones de trabajo seguro?

Tengo usuarios que desean utilizar el escritorio remoto para el acceso remoto a sus estaciones de trabajo. Tengo RADIUS server VPN conectado que utilizo, sin embargo recuerdo conectar y desconectar en lugar de enviar tráfico web a través de la VPN.

Dudo que hagan esto, porque el consultor de TI anterior dejó abierto RDP y ni siquiera sugerir cambiar passwords como 1234, contraseña y {insert child / pet name}. Ahora tienen que usar la política de passwords que R2 incluye, así que sé que somos más seguros en ese sentido.

Así que lo más importante es lo peligroso que es dejar 7 y XP Remote abierto a Internet?

4 Solutions collect form web for “¿Está el Escritorio remoto a estaciones de trabajo seguro?”

Si las passwords tienen una longitud y complejidad decente, el RDP está encriptado, por lo que en su mayor parte es seguro. Yo personalmente no lo haría, prefiriendo utilizar algo así como un cliente VPN de Cisco en las estaciones de trabajo, a continuación, VPN a la estación de trabajo en lugar de dejarlo abierto a los webbertubes. RDP puede ser susceptible a ataques MITM y probablemente obtendrá bots y escaneos que los sondearán.

También establecer su política para bloquear las counts si se intentan 3 veces con passwords incorrectas para prevenir / minimizar los ataques de fuerza bruta.

Resumen: probablemente es lo suficientemente seguro para hacer esto, pero es una mala práctica y debe evitarse.

EDIT: hay gusanos que atacan RDP, por lo que debe ser consciente de esto en la aplicación de sus políticas. Es decir, Morto.

Por lo general, no recomendaría usar RDP directamente a través de Internet, aunque sólo sea porque el uso de una VPN le proporciona una capa adicional de authentication (y la posibilidad de integrar fácilmente tokens de hardware). El protocolo RDP incluye encriptación y, si está utilizando las versiones más recientes del cliente RDP, la authentication del server remoto (y potencialmente la authentication mutua a través de Kerberos, o NLA en lenguaje Microsoft).

El problema principal con RDP no es el protocolo, sino más bien problemas con bashs de contraseña de fuerza bruta. Su firewall de borde puede, con suerte, limitar la velocidad de los nuevos bashs de connection. Existen soluciones basadas en host para bloquear las direcciones IP que buscan repetidas tentativas de connection de fuerza bruta, pero eso es sólo poner un dedo en el dique. Una buena política de passwords es útil, pero nunca puedes estar seguro de que tus usuarios no están usando las mismas passwords en algún lugar fuera de tu control (un sitio de terceros que se "posee", etc.). La adición de authentication VPN en la parte superior de la contraseña RDP proporciona un enfoque de cinturón y suspensiones.

El "con" que he escuchado expresado con VPNs frente a RDP directa se refiere a la conectividad a nivel de IP a la LAN proporcionada a los clientes VPN. A esto, yo diría simplemente terminar su VPN en una DMZ y limitar el tráfico dentro y fuera de la VPN. Este no es un argumento válido para usar RDP a través de Internet frente a una VPN adecuada.

El protocolo RDP con NLA, y los niveles más altos de security es bastante seguro de la interceptación de alguien. El problema con RDP es que básicamente tienes algo que está abierto que la gente podría ser utilizado para la fuerza bruta en su networking.

Si decide habilitarlo, será muy importante configurar los lockings de count muy duros. Configure un buen IPS / IDS, y asegúrese de acceder a los loggings.

Si esto es algo que debe permitir, sin una configuration de software adicional en el cliente, sugiero que al less mire la configuration de una pasarela de services de terminal. Esto le permitirá controlar, monitorear y limitar RDP.

Dejar RDP abierto a Internet nunca es una buena idea. Poca gente de otros países brute fuerza counts en su server / dominio constantemente. Esto bloqueará counts y podría eventualmente conducir a un robo. Sería mejor forzarlos a conectar una VPN y el tráfico RDP de túnel.

* Editar: Debería ser justo … la gente pequeña hacking que no siempre son de otros países. D

  • Mover el file de hibernación de Windows a una unidad diferente
  • Los clientes XP pierden inscripciones WINS
  • ¿Cuál es la dirección OID para get la carga de CPU y el uso de RAM física en WinXPsp3 y WinServer2003r2sp2 a través de SNMP?
  • Windows 7 - Arranque desde XP VHD
  • Túnel GRE entre el server Linux y el cliente XP
  • ¿Existe un progtwig para configurar por lotes los ajustes de Windows?
  • Limitar los inicios de session de Active Directory en una máquina determinada
  • ¿Dónde comprobar el logging de errores cuando la installation falla en Windows?
  • Detener Active Directory de actualizar la hora y la fecha del equipo
  • Un cliente no puede conectarse a un recurso compartido
  • Bloques de connection VPN acceso a internet
  • Ayuda para corregir el escenario de arranque dual de GRUB para linux / winxp
  • GPO - Cómo solucionar un arranque lento de Windows
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.