这是一个创建于 3892 天前的主题,其中的信息可能已经有所发展或是发生改变。
密码太不安全了 每天几万条爆破日志
像ssh那样配置私钥认证安全性大大提升
 | 1 hljjhb 2015-04-28 16:49:25 +08:00 via Android  1 用IPSec加密 |
 | 2 Citrus 2015-04-28 17:10:07 +08:00 via iPhone 1 有一个智能卡认证似乎可以实现类似效果,不过从未试验过,楼主可以往那个方向找找资料。或者直接 IP 白名单了事啊。。。 |
 | 3 holinhot OP 白名单太死了 |
 | 5 geeklian 2015-04-28 18:45:50 +08:00 via iPhone |
 | 6 Showfom PRO 支持证书 |
 | 8 ETiV 2015-04-28 19:48:04 +08:00 via iPhone 1 跳板机。阿里云固定IP连过去 |
 | 9 sanddudu 2015-04-28 19:49:18 +08:00 @Citrus Remote Desktop Services uses certificates to sign the communication between two computers. When a client connects to a server, the identity of the server and the information from the client is validated using certificates. 有啥问题么 |
| 10 holinhot OP |
 | 11 hjc4869 2015-04-28 20:26:55 +08:00 1 关了Administrator的RD访问权限,它再怎么爆也无济于事啊。。。 |
| 13 geeklian 2015-04-28 20:46:50 +08:00 @holinhot 这个不用放,简单来说,AD里的证书服务器给某个域用户签发一个拥有“Server Authentication” or “Remote Desktop Authentication”扩展的证书。然后你RDP域中服务器时,用这证书代替你输入用户名密码。 具体操作technet Windows服务器成规模时很方便。不用每台服务器改配置,一个证书免密登录所有给你RDP权限的服务器,证书丢了直接吊销签发个新的,用户删除直接删AD就是了。 单台windows服务器的话,免密没啥好办法。vps玩玩的话,禁掉administrator的话就够了。 |
| 16 geeklian 2015-04-29 07:57:44 +08:00 via iPhone 1 @Citrus 私钥和证书登陆,目的,性能,解决的问题都是一样的。只不过证书更适合企业的集群管理,私钥更适合一对一的管理。你的linux如果做了ldap集成,openssh一样可以用证书登陆。 |
| 17 holinhot OP |
| 18 Citrus 2015-04-29 11:17:46 +08:00 via iPhone |
| 19 geeklian 2015-04-29 19:06:27 +08:00 via iPhone @Citrus 是服务器证书没错啊 平时你rdp,服务器会自签发一个证书,这时候这个证书只是加密用。 现在ca给你签发一个可以登录某些服务器的证书,然后你保存在你的办公机上,rdp时会要求你选择证书,服务器拿你的证书跟ad里ca签发的ad根证书做验证,验证不通过就断开了。 如此一来,没有你这个证书的人,就没法爆破你的服务器啦..... |
| 22 geeklian 2015-04-29 20:19:28 +08:00 1 @Citrus @holinhot 嗯嗯....我有罪 不过替代方案找了一个.. https://github.com/frankmorgner/vsmartcard 虚拟的Smart Card,然后组策略里.. Interactive login: require smart card |
Select Language