אבטחת RDP מקסימלית

[lilimeshi]

אבטחת RDP מקסימלית

הסיטואציה : לקוח שיש לו סוכנים שמסתובבים בארץ ובעולם
הסוכנים מגיעים ללקוחות ושם צריכים לעשות כניסה של מספר דקות לעדכן נתונים בהתאם לממצאים. (ללקוחות יש מחשבים מבוססי MICROSOFT - חלונות XP/7/8 וכו')
מאחר וכמות הסוכנים גדולה (כ160-170 איש) - נתבקשנו למצוא פתרון שלא יצריך 160-170 לפטופים\אינטרנט סלולרי וכך הלאה.
אני לא רוצה לעשות סתם RDP פתוח לעולם (מטעמי אבטחה כמובן) וגם לא יכול להתחיל עם SSL VPN למיניהם כי זה מצריך התקנת פלאגאינים וזה לא מספיק פשוט להדיוטות ועוד במחשבים זרים.
האם יש דרך מאובטחת ברמה גבוהה שניתן לעשות חיבור מהיר שכזה? איזשהו RDP "חכם יותר" או משהו בסגנון? אני יודע שיש TS GATEWAY אבל לא יודע עליו מספיק.
אגב...שרת הטרמינל כבר קיים במשרדי החברה ומשמש כבר אנשים בתוך המשרדים ומחוץ לו בVPN (אנשים שעובדים קבוע מהבית וכך הלאה)

תודה לעונים

 

[JackHarper]

אני משתמש ב SSL Portal של Fortigate

ניגשים לכתובת שלו, מכניסים שם משתמש וסיסמא ומפעילים את חיבור הRDP אל הטרמינל.

הדבר היחיד שצריך המחשב זה java

 

[lilimeshi]

שוב, בעייתי...

מספיק שלאיזה מחשב יש JAVA לא מספיק מעודכן או צריך להתחיל עם כל מיני החרגות בדפדפן וכו', זה כבר לא ישים

צריך משהו מאוד מיידי

 

[skepper]

אתה יכול להשתמש ב RDC Native

ואז הוא מפעיל את ה RDC המקומי שעל המחשב

 

[xcalibur]

IDENTITY POLICY

אתה יכול לבנות IDENTITY POLICY שיפתח לך פורטל עם שם משתמש וססמא כל פעם שמישהו ינסה לגשת לכתובת האיי פי של השרת מבחוץ (HTTP ו-HTTPS).
אחרי אוטנטיקציה מוצלחת ה-FW יפתח לו גישה זמנית ל-RDP.
אצלנו למשל אני מאפשר בצורה כזו גישה לרואי החשבון מהבית ל-SAP ולשרת הקבצים מבלי להגדיר להם VPN.


אה ולא צריך בשביל זה JAVA.

 

[JackHarper]

לא הבנתי כל כך

במה שאני שתיארתי הם מבצעים אוטנטיקציה בportal ולוחצים על לינק של rdp או rdp native והם מתחברים לטרמינל.

אצלך הם עושים אוטנטיקציה ואז מה? פותחים mstsc לכתובת של fw בפורט מסוים?

 

[xcalibur]

מדויק!

 

[JackHarper]

זה דורש שהם יכינו mstsc

בצורה עצמאית בכל מחשב אליו הולכים, לא?

לא הייתי נותן את האפשרות הזאת ל dumb users שלי.

 

[xcalibur]

כל מקרה לגופו

אם יש לך אפשרות לפרוס התקנה של ג'אווה על כל התחנות אז סבבה.
אבל במקרה המדובר זה יהיה הרבה יותר מהיר ויעיל לפתוח MSTSC ולהכניס כתובת שרת.

 

[JackHarper]

יש rdp ו rdp native

אני מנסה להזכיר אם שניהם דורשים java כי אחד סהכ עושה הפניית פורטים פנימה ומפעיל mstsc עם הפרמטרים הנכונים ללא צורך בהקמה.

 

[lilimeshi]

אין בעיה ללמד משתמשים

לבצע חיבור דרך פורטל ואחר כך ללכת למצוא "חיבור שולחן עבודה מרוחק"

פתיר בהחלט

 

[lilimeshi]

אגב מה עם RD WEB ACCESS?

זה מספיק מאובטח?

 

[lilimeshi]

נשמע טוב הפתרון

איך מיישמים?

 

[xcalibur]

יש לך מדריך יוטוב נחמד כאן:

https://www.youtube.com/watch?v=aKHtALs4N4I

 

[AfiComp]

אחנו עובדים עם RDS Gateway כבר קרוב ל-4 שנים.

ומבחינת פשטות השימוש לא נתקלתי במשהו שמתקרב אליו (אולי חוץ מ-RDP פתוח לכל דיכפין...

).
אצלנו השירות "מפובלש" דרך שרת MS TMG וכל מה שמשתמש מרוחק צריך לעשות בשביל להתחבר הוא להוריד קובץ rdp סטנדרטי מהאתר שלנו, להזין את שם המחשב ולהתחבר (יש כמה חלונות התרעה על תעודת ההצפנה של השרת/תחנה שהוא מתחבר אליהם שצריך לאשר אבל בזה זה נגמר).
אולי יעזור לך -
הוראות Step by Step להגדרת השירות על 2008R2
הוראות Step by Step להגדרת השירות על 2012R2
פיבלוש דרך TMG

אגב, אם יש צורך תמיד ניתן "להלביש" פתרון 2FA צד שלישי, כמו Duo Security

אם תרצה שאקשר אותך עם הגורם שהטמיע את השירות אצלנו צור קשר בפרטי.

שבוע טוב,
AfiComp

 

[Motel]

חלונות התרעה על תעודות?

משהו חסר בהטמעה שלכם, אם הקליינט סומך על התעודות של השרת אז אין שום חלונות התרעה.

 

[AfiComp]

ההתרעות הן של נקודות הקצה אליהן מתחברים...

כאשר הקליינט עצמו אינו מחשב מהדומיין ואינו "מכיר בסמכותו" של ה-CA הפנימי שלנו

שרת ה-TG עצמו מפובלש עם תעודת SSL "אמיתי" ושם אין בעיות אמון והתרעות...

המשך ערב נעים,
AfiComp

 

[lilimeshi]

יישמתי הפתרון של ה2012 דרך TMG

נראה מעניין העניין

אמשיך לחקור לעומק

תודה איש

 

[AfiComp]

בהצלחה!

 

[בצג]

אני יודע ש RDP לעולם זה לא בריא כי ככה אמרו

אבל בשביל התרגול:
יש לי שרת עם RDP פתוח לעולם. מדובר על 2012 עם חיבור ברמת הצפנה הגבוהה יותר מבין שתי האפשרויות שיכולות להיות (מכירים את סימון הרדיו הזה, נכון?)

האם יש דרך לבצע לוגין למחשב הזה בי לדעת את שם המשתמש והסיסמה (משמע: בלי Brute Force) ?

אשמח להפנייה על מנת לבצע תרגול.
ערב טוב