Как настроить ограниченный удаленный доступ к серверу?

Question

[Slade]

Доброго времени суток.

Я новичок по части администрирования. Получил в распоряжение Windows Server 2016 standart edition. Имеет один сетевой адаптер с внешним IP.
Мне нужно организовать удаленный доступ к этой машине небольшому количеству пользователей (до 50 чел.). При этом в целях безопасности запретить входящие подключения для всех остальных.
Главной проблемой является то что у большинства пользователей нет выделенных (белых) IP адресов из-за чего настройка фильтра адресов через Брандмауэр Windows становится сложной и очень не удобной.
Хотелось бы узнать какие в моем случае есть варианты настройки безопасного доступа?

Answer 1

[Александр]

Я бы нерекомендовал высовывать наружу порт RDP(хотя бы стандартный) - чтобы всякие боты не долбили его(постоянный запуск winlogon сжирает ресурсы). Сделайте VPN и пусть подключаются в начале к нему, а потом уже к RDP.

Comments

[Slade]

VPN это неплохо, только я к сожалению не представляю как на Windows настроить подключение только по нему.
А для такой настройки нужно использовать только встроенный VPN Windows или можно и другие типа OpenVpn?

Answer 2

[АртемЪ]

Вариантов много.
Вообще у Windows Server 2016 с безопасностью RDP все достаточно неплохо, и в большинстве случаев вполне можно не городить огород, все и так безопасно. Нужно только грамотно настроить сам RDP сервер и парольную политику, ибо ломают RDP в большинстве случаев банально перебирая пароли к пользователю Администратор - 123, qwerty, admin и.т.д

Если у вас повышенные требования к безопасности можно использовать VPN и разрешать подключения только из сети VPN.
Так же для исключения подбора можно настроить на шлюзе port knocking, и внедрить на сервере что нибудь вроде failtoban для windows

Answer 3

[EvgenyT]

Если Ваши пользователи имеют доменные учетки, то эти учетки можно поместить в группу пользователей удаленного подключения. Все остальные пользователи подключится не смогут.

Comments

[Максим Гришин]

Даже локальные можно, но это немного не настройка защиты, а просто настройка доступа к серверу.

[EvgenyT]

Если говорим про безопасность, то тем самым запрещаем любые другие подключения. Только определенные пользователи могут иметь доступ к серверу удаленно

Answer 4

[CityCat4]

VPN.
Можно даже стандартный виндовый - не торт, но на безрыбье и сам превратишься в рака :)

Всех, кому нужен VPN - в группу типа "VPN access" и доступ к VPN только этой группе. Остальные не смогут подключиться.
RDP разрешать только для локалки - боты будут постоянно дрюкать сервак, перебирая пароль.