Microsoft远程桌面是否需要保护VPN？

Question

我正在从我的家庭Windows 7计算机连接到托管服务器Windows 2008 R2。我使用非默认端口上的远程桌面连接到它。

我想知道我是否应该努力为远程桌面访问设置一个虚拟专用网连接，比如OpenVPN。我不是一个安全专家，我只是想尝试使连接到我的主机服务器尽可能的安全。

Answer 1

在安全问题上，答案往往是“也许”。理论上，如果设置正确，如果您保持系统的最新，RDP实际上是相当安全的。可能不是最安全的可用系统，但它仍然可以被认为是足够安全的大多数使用(并可以在必要时进行扩展)。

您将遇到的第一个也是最相关的问题是DOS可能针对您的管理员帐户。这一个很容易理解:如果你已经设置了一个限制的失败尝试登录的次数，有人可以继续尝试访问你的帐户，并保持锁定。在unix上，您可以使用fail2ban来防止这种情况发生，但是在windows中并没有明确的等效方案(尽管有很多解决方案，从脚本到成熟的商业程序都会这样做)。另一个简单的解决方案是首先限制允许连接到RDP的IP地址的范围，或者强制用户首先通过VPN。另一种选择是使用IPSec。另一个(也是更好的)解决方案是在您的系统中添加两个因素的身份验证:强制使用智能卡进行RDP连接，这使得整个身份验证过程非常安全，尽管设置起来有点困难。

您将要遇到的第二个问题是连接的安全性。如果您正确地设置了RDP (即正确设置了服务器证书，就会强制进行网络级别的身份验证，并且在TLS上使用RDP )，那么风险就很小。

在此基础上添加VPN层不会增加整体安全性。假设您从另一台机器上运行它，这仍然是一个值得增加的地方，因为它将提高深度安全性(因为为了破坏最终的机器，您必须破坏两个系统而不是一个系统)，但是如果您要在同一个系统上安装所有的东西，实际上通过添加另一种潜在的利用漏洞的方法来增加系统的漏洞范围。

Answer 2

使用非默认端口只是一步，因为自动扫描器和蠕虫将无法找到它。

2012年3月发布的微软安全公告MS12-020描述了大多数Windows平台上微软RDP实现中的关键漏洞(CVE-2012-0002)，因此请考虑配置您的RDP设置以使用启用网络级别身份验证( 正如微软所建议的 )

记住要有强大的密码来处理暴力攻击像“摩托”这样的蠕虫。

我希望我能帮上忙^_^