2008 R2 - [решено] Как лучше развернуть Терминальный сервер?

Agnicul · Отправлено: **10:49, 17-08-2012** | #2

Неужели никто не задавался таким вопросом...?(

exo · Конфигурация компьютера

у меня одна точка работает с прямым RDP. Но канал 1-2 мбита. Если есть нагрузка на сеть - это сказывается для удалёнщиков.

Цитата Agnicul:

Хотя зачем шифровать дополнительно VPNом, если RDP тоже шифруется 128-битным ключем? »

за тем, что бы убрать "дверь", к которой можно подобрать "ключ".

Agnicul · Отправлено: **09:43, 22-08-2012** | #4

Но ведь при подключении VPN мы открываем "дверь" троянаям, которые находятся на компе пользователя, которые могут пойти гулять в сеть офиса?

WindowsNT · Отправлено: **10:38, 22-08-2012** | #5

Это утверждение равносильно следующему: "подключаясь к интернету вообще, мы открываем дверь троянам, которые могут пойти гулять в сеть офиса".
Это утверждение не соответствует истине и является глубоко ошибочным.

В поражении червями, вирусами и прочими зловредными программами всегда безоговорочно и стопроцентно виноват системный администратор заражённой машины. Это его прямая ответственность, а не средств коммуникаций типа VPN. Ещё раз: если системный администратор не предпринимает достаточных мер по предотвращению заражения, это его прямая вина. Грамотной конфигурацией системы всегда можно предотвратить заражение. Неграмотной и некомпетентной настройкой — не удастся, вне зависимости от используемых мер подключения к сети.

С другой стороны, вы должны знать, что стандартный RDP по умолчанию подвержен атаке Man in the Middle, реализуя которую можно без особых усилий в считанные секунды перехватить все используемые пароли и расшифровать весь трафик. Для действительно безопасной работы в Терминале следует применить IPSec на базе цифровых сертификатов.

VPN на базе PPTP тоже ломается за минуты. Более того, недавно был скомпрометирован протокол MSCHAP, что позволяет считать любые сети VPN/WiFi без использования цифровых сертификатов практически незашифрованными.

Denis Dyagilev · Отправлено: **16:22, 22-08-2012** | #6

Используйте Remote Desktop Gateway с публикацией на ISA Server.

Agnicul · Отправлено: **13:00, 23-08-2012** | #7

Спасибо за полезный опыт, в общем исследовав все варианты, решил оставить Vpn-туннель для подключений по RDP.
Если бы мой Терминальный сервак был в DMZ, то можно было бы и остановиться на простой публикации.... А при одноногой схеме как то небезопасненько....