Напоминаем про опасность открытого доступа к RDP через интернет. Вероятность, что его инфраструктура частично зашифрует, стремится к 1. Проникновение очень происходит через открытый в Миру RDP порт для удаленного подключения. Если нужен удаленный доступ именно по rdp, то використовуйте один из вариантов: Доступ только через vpn . Самый надежный способ, который решает не только вопрос rdp-подключений, но и в целом доступ к инфраструктуре . Основное неудобство vpn - настройка подключения на стороне клиентов . В зависимости от выбранной реализации, это может быть не тривиально, так что нужно писать инструкции или подключаться на пользовательские компы и настраивать подключение.
Использовать шлюз удаленного рабочего стола (RDG) - шлюз для rdp соединений от Microsoft. Подключение по rdp осуществляется через https соединение. На входе перед RDG можно настроить HAproxy для дополнительной защиты.
Открытый исходный код аналога предыдущего шлюза - Apache Guacamole. Может проксировать не только протокол rdp, но и vnc, ssh . Работает через браузер с помощью HTML5. В целом удобная и функциональная штука, но периодически в ней находят серьезные уязвимости.
Можете порт настроить стук или аналогичную защиту на шлюзе. Подключение пользователей можно автоматизировать с помощью скриптов. Вариант колхозный, но если у вас мало клиентов и нет желания усложнять инфраструктуру, это может быть нормальным решением.
Ограничение доступа к rdp порту по ip на уровне Firewall. Просто закройте доступ к списку статических IP-адресов, если у вас есть возможность. Очень простой и надежный вариант. К сожалению, чаще всего неприменим из-за динамических IP-адресов клиентов.
Замените подключение по rdp каким-то другим удаленным доступом. Выбор инструментов сейчас обширен, как бесплатно, так и за деньги. Другое дело, что эти варианты тоже могут иметь уязвимость, но в целом шанс от них пострадать ниже, чем у RDP. Последний очень популярен и постоянно попытки его взлома.
Дополнительные и более сложные варианты:
А) RDP через ssh. X орошая штука. Настраивается в пару кликов, для пользователя это выглядит так же как через простое RDP (один ярлык). Побитовое по моему называется.
В) Доступ по RDP не так страшен, как его малюют. Как минимум сервер, на котором выполняется доступ по RDP, за межсетевой экран и доступ по любому абстрактному порту. причём это можно сделать дважды. на терминальнике сделать порт 10001 а на шлюзе - 10035 (к примеру, цифры конечно ДРУГИЕ). у клиента прописываем: рдп: 10035 - он ломится в шлюз, а там редиректится на настоящий сервер терминальный. причём только после проверки аутентификации. Это не совсем шлюз терминалов. Это скорее просто шлюз. Попасть в терминальный сервер могут только пользователи RDP. А у них - сложный пароли. Пользователи РДП не имеют админских прав. Шифровальщики проникают скорее с заражённого с клиента, которому установлен доступ на терминальный сервер.. А не через взлом через РДП .
Источник: https://vk.com/serv_adm