Повышение безопасности для компьютера с удаленным рабочим столом - использовать 2FA и / или ограничить только подключение к локальной сети?

Question

Я смотрю на настройку удаленного рабочего стола Windows на компьютере W10 Pro.

Я хотел бы повысить безопасность соединения и задаться вопросом, возможно ли одно из следующего:

• Пароль, отличный от имени пользователя, используемого для входа при физическом использовании аппарата. Таким образом, он может использовать случайную сгенерированную строку, которую я мог бы ввести один раз с компьютера с исходящим звонком.

• Двухфакторная аутентификация.

• Ограничьте все входящие подключения к машинам только в одной локальной сети.

Там будет 3 компьютера, которые будут подключаться к хосту, в основном Mac.

Возможно ли / все это, и есть ли другие вещи, на которые я должен обратить внимание?

Answer 1

В статье Защита удаленного рабочего стола (RDP) для системных администраторов перечислены следующие советы:

• Используйте надежные пароли
• Обновите ваше программное обеспечение
• Ограничить доступ с помощью брандмауэров
• Включить проверку подлинности на уровне сети (по умолчанию включено для Windows 10)
• Ограничить пользователей, которые могут войти в систему с помощью удаленного рабочего стола (по умолчанию все администраторы)
• Установить политику блокировки учетной записи (заблокировать учетную запись после нескольких неправильных предположений)
• Изменить порт прослушивания для удаленного рабочего стола (по умолчанию TCP 3389)
• Не используйте другие продукты, такие как VNC или PCAnywhere

На ваш вопрос о двухфакторной аутентификации я не верю, что она существует в Windows 10 Pro, только в Windows Server.

В статье 5 лучших альтернатив Google Authenticator перечислены шесть продуктов, которые имеют бесплатный (но также и платный) тарифный план: Google Authenticator, Authy, Duo, HDE OTP, Authenticator Plus, Sound Login Authenticator. Я никогда не использовал такие продукты, поэтому не знаю, насколько они полезны для вас.

Answer 2

Основываясь на текущей информации, мои рекомендации:

• Установив туннель SSH, вы получаете дополнительный уровень аутентификации, где вы можете использовать другое имя пользователя / пароль или аутентификацию с открытым ключом для входа в систему. Вы также можете включить запутывание с совершенно другим паролем, как вы хотели. Таким образом, вы также усложняете для кого-то, отслеживающего трафик, возможность даже видеть, что это SSH - и для подключения им обоим нужен этот пароль и любой логин SSH, который вы настроили. Добавьте к этому, что это туннельный RDP-трафик, который также зашифрован.
  
  На компьютере с Windows вы можете установить Bitvise SSH Server, а на Mac вы можете добавить поддержку обфускации во встроенный OpenSSH с некоторыми изменениями от ZingLau.
• 2FA может быть возможно, но это не будет легко или бесплатно. Для входа со встроенной смарт-картой требуется домен Windows Active Directory, но для автономных компьютеров существуют сторонние решения. EIDAuthenticate поддерживает RDP и доступен в бесплатной версии с открытым исходным кодом, но только для домашних выпусков (тем не менее, они думают о "программе домашнего использования", поэтому обращение к ним может ускорить это мышление). Но в вашем случае этого может быть недостаточно, так как это только для Windows, и вы подключаетесь с Mac.
• Ограничение входящих подключений к локальной сети, может быть легко сделано в брандмауэре Windows.
• Общие вещи, такие как надежные пароли и обновление всех компьютеров должны быть сделаны, конечно. Я также рекомендую иметь отдельные учетные записи пользователей и администраторов и разрешать вход только (непривилегированным) учетным записям пользователей через RDP, поэтому учетная запись администратора должна входить локально.
• Следующее, на что я бы обратил внимание, - это безопасность подключающихся клиентов, потому что, если они скомпрометированы, все остальные настройки, которые вы настроили , не сильно помогут. Но я говорю об общих принципах безопасности, поэтому не буду вдаваться в подробности.

Answer 3

Этот сценарий возможен с WebADM от RCDevs, который является бесплатным до 40 пользователей.

1. Пароль, отличный от имени пользователя, используемого для входа при физическом использовании аппарата.

Да, WebADM использует LDAP, ActiveDirectory ... Таким образом, вы можете использовать другое имя пользователя / пароль.

2. Двухфакторная аутентификация.

Да, вы можете использовать TOTP, HOTP с аппаратным / программным токеном, электронную почту и смс.

3. Ограничьте все входящие подключения к машинам только в одной локальной сети.

Да, вы можете определить политику клиента.

4. Там будет 3 компьютера, которые будут подключаться к хосту, в основном Mac.

Да, вы можете установить плагин Credential Provider для Windows или OSX с автономной аутентификацией.