Как защитить подключение к удаленному рабочему столу (RDP)?

Сначала устанавливаете VPN-подключение, потом RDP.

Еще можно переназначить порт рдп по умолчанию. А вообще человек правильно советует сначала впн. а потом рдп.

Игорь Зеттич:

1) запретить все снаружи, поставить VPN (PPTP, OpenVPN, что угодно) и путем доступа подключаться к внутреннему IP сервера по RDP
2) если 2008+, то ничего можно не делать, а лишь закрыться файрволлом и поставить нормальные пароли. в последних версиях RDP все шифруется. также можно обеспечить доступ не по паролям, а по сертификатам.

Стоит Server 2008 R2. А какой принцип подключения по сертификатам? Я в общих чертах читал. Нужно на сервере развернуть сервер сертификатов автономный, потом подать запросы на сертификаты и их выпустить. Потом на каждый комп загрузить в нужные хранилища. Без этого сертификата комп не сможет подключиться к серверу? Т.е. не сможет дойти до этапа подбора логина и пароля? Просто была Win server 2008 sp2 Standart x-86, там по какой-то причине не удалось настроить подключение, используя сертификаты. И вообще можете литературу какую посоветовать по данному вопросу?

Proxopotamus:

KINMOR, почему у вас вообще возникла проблема подбора паролей к rdp? может проще решить эту проблему?

Каким образом решить проблему? Подключить VPN у Белпака и пользоваться им дорого (как считает руководство), а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

KINMOR,
cat /var/log/secure | grep 'authentication failure' | wc -l
100869

это нормально.

Proxopotamus:

KINMOR:

а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

пользователи часто ошибаются при вводе пароля

да не пользователи, у пользователей конкретные логины, а перебор идет и логинов и паролей.

АндрюхО:

Могу для желающих (совершенно бесплатно, так сказать даром) по Skype продемонстрировать вышеописанные варианты (VPN, фильтрация по IP, переназначеные портов RDP), реализованные на базе продуктов: Kerio WinRoute Firewall и Microsoft Forefront Threat Management Gateway 2010.

А может какие ссылки обучающие предложите или видео?

Proxopotamus:

"в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля"
ну, во-первых, я не совсем понимаю, почему "ежедневно регистрирую по несколько попыток взлома" у вас однозначно ассоциируется с "идет перебор логинов и паролей". если бы вас действительно ломали, то 1) ваш adsl-канал рухнул бы за доли секунды и 2) вы бы не успевали пролистывать журнал событий.
во-вторых, даже если предположить, что есть некий дятел, который пару раз в день пытается руками "подобрать" (кхм) пароль, то 1) почему вы не настроите политики авторизации и 2) вы и правда хотите из-за этого кулхацкера значительно усложнить процедуру доступа к терминалу?

зы куда более вероятные причины того, что в журнале фиксируются попытки "взлома":
1. ваши пользователи, как везде, ошибаются с логинами и паролями
2. у вас в сети сидит вирусняк вроде старой доброй нешты. а возможно, и не в сети, а кто-то подключается из дома по vpn.
3. вы выставили в интернет интерфейс с включённым нетбиосом.

Да все потому, что порт RDP торчит в инете.
Proxopotamus, я не полный ноль в сетевых технологиях, и отличить подключение пользователя от подбора по журналу событий вполне могу. И когда пробуют подобрать пароль к учетке "Administrator" в выходной день с китайского айпишника, а такой учетки вообще нет , то тут не надо быть семи пядей во лбу!

вобще исходя из задания (один офис с внешним IP, на котором крутится сервер, а второй - с компами, я так понимаю там НАТ) достаточно запретить соединения ото всюду, кроме как из внешнего айпи второго офиса.

KINMOR, даже если вы откроете все сети провайдера, ситуация с безопасностью не сильно пострадает.

Если у кого на сервер 1С по RDP заходили и базы пихали в запароленый RAR архив и требовали выкуп - есть одно призрачное решение. Пишите в ЛС.. подскажу