Ограничьте компьютеры, которые могут удаленный рабочий стол на сервере

Question

У меня есть компьютер с Windows Server 2003 , доступ к которому осуществляется через подключение к удаленному рабочему столу . Чтобы получить доступ к серверу, вам нужно знать только IP-адрес компьютера.

Я хочу ограничить компьютеры, которые могут получить доступ к серверу Windows, только авторизованными компьютерами. У авторизованных компьютеров не будет статических IP-адресов, поэтому я не могу ограничить их на основе IP-адреса. Могу ли я ограничить их на основе MAC-адреса, возможно? Я не буду возражать против использования сторонних решений, таких как TeamViewer, LogMeIn и т.д.

Как я могу решить эту проблему?

Answer 1

Я нашел возможное решение в TeamViewer. TeamViewer создает уникальный идентификатор партнера для компьютера, на котором он установлен. У него есть возможность разрешить доступ к компьютеру только авторизованным идентификаторам партнеров. Задача решена.

Answer 2

Почти во всех случаях вы получите аутентификацию сертификата User+Group [и | или] вместо управления запрашивающей машиной. Чтобы уточнить, что упомянуто в cmbrnt: LogMeIn, это все еще механизм аутентификации на основе пользователя, и вы не указываете, какие клиентские компьютеры могут предпринимать попытки подключения.

Вы устанавливаете программное обеспечение LogMeIn на хосте, которым хотите управлять, а затем входите на веб-сайт LogMeIn (аутентификация пользователя), чтобы попытаться подключиться к этому хосту из любой точки мира. После чего вы снова будете аутентифицироваться на этом компьютере (или домене).

Поэтому LogMeIn является более безопасным, чем просто пробить дыру в RDP, поскольку у вас нет открытых служб и вы дважды проводите аутентификацию, когда оба соединения (клиент <-> LogMeIn <-> хост) находятся над защищенными соединениями. Есть даже третий вариант "пароль хоста", который вы можете использовать, если хотите, IIRC.

Я полагаю, что LogMeIn ТАКЖЕ имеет фильтрацию, откуда поступают попытки подключения, но они будут по IP-адресу, который, как вы сказали, не работает.

Answer 3

Logmein может сделать это для вас, так что вы вроде как ответили на свой вопрос. По сути, вы устанавливаете клиент на своем сервере и входите в систему, чтобы войти через него, что ограничивает компьютеры, к которым вы можете получить к нему доступ, поскольку вам потребуется ваш безопасный пароль. Это требует, чтобы вы доверяли logmein, но я вполне уверен, что вы можете сделать это.

Я не знаю способа сделать это с помощью обычного RDP, за исключением настройки расширенного межсетевого экрана, который может устанавливать правила на основе MAC-адреса. Для этого потребуется, чтобы компьютер, с которого вы подключаетесь, находился на том же коммутаторе, что и сервер, поскольку MAC-адрес источника удаляется из TCP/IP-пакетов при прохождении через маршрутизатор.

Answer 4

Обычно с RDP вы делаете это для каждого пользователя, а не для каждого компьютера. При настройке сервера для разрешения подключений к удаленному рабочему столу по умолчанию только группа администраторов на этом компьютере может получить к нему доступ. Вы должны специально добавить любых дополнительных пользователей или групп, которые вы хотите разрешить.