这是一个创建于 3838 天前的主题,其中的信息可能已经有所发展或是发生改变。
密码太不安全了 每天几万条爆破日志
像ssh那样配置私钥认证安全性大大提升
 |
1
hljjhb 2015-04-28 16:49:25 +08:00 via Android  1
用IPSec加密
|
 |
2
Citrus 2015-04-28 17:10:07 +08:00 via iPhone 1
有一个智能卡认证似乎可以实现类似效果,不过从未试验过,楼主可以往那个方向找找资料。或者直接 IP 白名单了事啊。。。
|
 |
3
holinhot OP 白名单太死了
|
 |
5
geeklian 2015-04-28 18:45:50 +08:00 via iPhone
|
 |
6
Showfom PRO 支持证书
|
 |
8
ETiV 2015-04-28 19:48:04 +08:00 via iPhone 1
跳板机。阿里云固定IP连过去
|
 |
9
sanddudu 2015-04-28 19:49:18 +08:00
@Citrus Remote Desktop Services uses certificates to sign the communication between two computers. When a client connects to a server, the identity of the server and the information from the client is validated using certificates.
有啥问题么 |
|
10
holinhot OP |
 |
11
hjc4869 2015-04-28 20:26:55 +08:00 1
关了Administrator的RD访问权限,它再怎么爆也无济于事啊。。。
|
|
13
geeklian 2015-04-28 20:46:50 +08:00
@holinhot
这个不用放,简单来说,AD里的证书服务器给某个域用户签发一个拥有“Server Authentication” or “Remote Desktop Authentication”扩展的证书。然后你RDP域中服务器时,用这证书代替你输入用户名密码。 具体操作technet Windows服务器成规模时很方便。不用每台服务器改配置,一个证书免密登录所有给你RDP权限的服务器,证书丢了直接吊销签发个新的,用户删除直接删AD就是了。 单台windows服务器的话,免密没啥好办法。vps玩玩的话,禁掉administrator的话就够了。 |
|
16
geeklian 2015-04-29 07:57:44 +08:00 via iPhone 1
@Citrus
私钥和证书登陆,目的,性能,解决的问题都是一样的。只不过证书更适合企业的集群管理,私钥更适合一对一的管理。你的linux如果做了ldap集成,openssh一样可以用证书登陆。 |
|
17
holinhot OP |
|
18
Citrus 2015-04-29 11:17:46 +08:00 via iPhone
|
|
19
geeklian 2015-04-29 19:06:27 +08:00 via iPhone
@Citrus
是服务器证书没错啊 平时你rdp,服务器会自签发一个证书,这时候这个证书只是加密用。 现在ca给你签发一个可以登录某些服务器的证书,然后你保存在你的办公机上,rdp时会要求你选择证书,服务器拿你的证书跟ad里ca签发的ad根证书做验证,验证不通过就断开了。 如此一来,没有你这个证书的人,就没法爆破你的服务器啦..... |
|
22
geeklian 2015-04-29 20:19:28 +08:00 1
@Citrus
@holinhot 嗯嗯....我有罪 不过替代方案找了一个.. https://github.com/frankmorgner/vsmartcard 虚拟的Smart Card,然后组策略里.. Interactive login: require smart card |
Select Language