Лучший способ защитить RDP-соединения БЕЗ VPN?

Question

Нам нужно использовать RDP для клиента, но VPN и интернет-соединение слишком ненадежны, чтобы использовать VPN больше. VPN больше не вариант для нас.

В настоящее время планируется открыть несколько портов (не 3389) на брандмауэре и направить их к 3389 портам внутри. Проблема с безопасностью возникает, когда все, что блокирует доступ, - это одно RDP-соединение с правильным паролем.

Мы могли бы установить правила на брандмауэре, чтобы запретить доступ только к определенным IP-адресам, но это становится проблемой с динамическими IP-адресами.

Каким будет следующий лучший вариант для защиты VPN?

Answer 1

Используйте аутентификацию сертификата rdp.

@ Скотт Чемберлен описал это https://superuser.com/a/750943/440206:

Да, но вам нужно будет установить и настроить хост сеанса удаленного рабочего стола для использования шлюза удаленного рабочего стола .

Когда вы используете шлюз удаленных рабочих столов, вы можете настроить политики авторизации подключений к удаленным рабочим столам (RD CAP) и политики авторизации ресурсов рабочего стола (RD RAP), в которых вы можете настроить такие параметры, как требование, чтобы на подключаемом компьютере был сертификат клиента (для каждого компьютера). или на пользователя).

Answer 2

Вы можете посмотреть в DirectAccess для безопасного доступа к вашей сети:

DirectAccess позволяет удаленным пользователям получать безопасный доступ к общим файловым ресурсам внутренней сети, веб-сайтам и приложениям без подключения к виртуальной частной сети (VPN). Внутренняя сеть также называется частной сетью или интранетом. DirectAccess устанавливает двунаправленное соединение с внутренней сетью каждый раз, когда компьютер с поддержкой DirectAccess подключается к Интернету, даже до того, как пользователь входит в систему. Пользователям никогда не нужно думать о подключении к внутренней сети, а ИТ-администраторы могут управлять удаленными компьютерами за пределами офиса, даже если компьютеры не подключены к VPN.

Ссылка на источник