spamtrapper
16-02-2016, 19:19
Добрый день, уважаемые.
Буду очень благодарен, если направите на верный путь.
Имеем сервер терминалов на 2008 R2, который смотрит в мир и на котором крутится служба удаленных рабочих столов.
Раньше, еще со времен Win2K я RDP заворачивал в VPN и чувствовал себя спокойно. Сейчас RDP стал более безопасным и от лишнего геморроя в виде VPN хочется избавиться.
Итак, начал я с того, что настроил шлюз удаленных рабочих столов. Все бы хорошо, соединение шифруется, красота.
Но мне не понравились два момента:
1. Нельзя перенастроить порт - только 443 (это вроде пофиксили в 2012-м, но у нас 2008-й.)
2. Подключиться к серверу можно из любого места, что теоретически допускает брутфорс.
Тогда я прочитал про подписанные файлы RDP (вообще, все мануалы пишут про RemoteApp, но к удаленным рабочим столам это вроде как тоже применимо).
Итак:
Создаю на сервере самозаверенный сертификат. Читаю его хеш, а затем с помощью этого хеша на клиенте подписываю рдп-файл:
signrdp /sha1 <hash> file.rdp
Далее, на сервере иду в политики:
Конфигурация компьютера / Адм. шаблоны / Компоненты Windows / Службы уд. раб. столов / Клиент подключения к уд. раб. столу
и отключаю политику "Разрешать RDP-файлы от неизвестных издателей".
После чего надеюсь, что клиенты с неподписанными рдп-файлами подключиться не смогут. Но они, подлецы, подключаются.
Подскажите, что я делаю не так?
Большое спасибо за внимание.
Буду очень благодарен, если направите на верный путь.
Имеем сервер терминалов на 2008 R2, который смотрит в мир и на котором крутится служба удаленных рабочих столов.
Раньше, еще со времен Win2K я RDP заворачивал в VPN и чувствовал себя спокойно. Сейчас RDP стал более безопасным и от лишнего геморроя в виде VPN хочется избавиться.
Итак, начал я с того, что настроил шлюз удаленных рабочих столов. Все бы хорошо, соединение шифруется, красота.
Но мне не понравились два момента:
1. Нельзя перенастроить порт - только 443 (это вроде пофиксили в 2012-м, но у нас 2008-й.)
2. Подключиться к серверу можно из любого места, что теоретически допускает брутфорс.
Тогда я прочитал про подписанные файлы RDP (вообще, все мануалы пишут про RemoteApp, но к удаленным рабочим столам это вроде как тоже применимо).
Итак:
Создаю на сервере самозаверенный сертификат. Читаю его хеш, а затем с помощью этого хеша на клиенте подписываю рдп-файл:
signrdp /sha1 <hash> file.rdp
Далее, на сервере иду в политики:
Конфигурация компьютера / Адм. шаблоны / Компоненты Windows / Службы уд. раб. столов / Клиент подключения к уд. раб. столу
и отключаю политику "Разрешать RDP-файлы от неизвестных издателей".
После чего надеюсь, что клиенты с неподписанными рдп-файлами подключиться не смогут. Но они, подлецы, подключаются.
Подскажите, что я делаю не так?
Большое спасибо за внимание.