向远程桌面登录添加附加身份验证

Question

我们有一个Windows 2008标准盒，运行一个终端服务器，我们的团队成员通过路由器中的防火墙规则(Linksys RV042)从离网位置连接到该终端服务器。出于安全考虑，我们已将默认TS端口更改为未使用的高级端口号。

我们希望添加一个额外的安全层，这将是一个用户名/密码挑战，与终端服务器无关，与用户的登录凭据无关。我不确定这是否可能。

我在这里要做的是，通过wordpress安装的wp-admin目录中的htaccess文件添加一个Apache密码挑战，它有自己的登录名。因此，第一种身份验证机制是通过不运行第二种身份验证机制的服务进行的。

知道我们该怎么做吗？

Answer 1

防火墙是否支持基于服务、规则或应用程序(RDP)对用户进行身份验证？

此外，更改服务器上的RDP端口如何使其更安全？任何扫描您的网络范围以获取侦听端口的人都只会找到新端口，而不是找到默认端口。

Answer 2

您是否考虑过服务器2008终端服务网关？它将改进用于保护连接的加密，并为您提供对RDP的更大控制。

http://technet.microsoft.com/en-us/library/cc731264%28WS.10%29.aspx

Answer 3

您可以使终端服务器成为它自己的域控制器，在它自己的域中。让主域信任TS-域。让TS用户针对TS域进行身份验证。将TS-域用户添加到所需的任何安全组中。这样，如果您的TS被破坏，您的主域管理没有受到损害，至少不一定。

VPN也是您可能要添加的额外的安全层。