রিমোট ডেস্কটপ মেশিনের জন্য সুরক্ষা বাড়ান - 2 এফএ এবং / অথবা কেবল ল্যান সংযোগের সীমা ব্যবহার করবেন?


7

আমি একটি ডাব্লু 10 প্রো মেশিনে উইন্ডোজ রিমোট ডেস্কটপ সেটআপ করতে দেখছি।

আমি সংযোগের সুরক্ষা বাড়িয়ে তুলতে চাই এবং নীচের যে কোনওটি সম্ভব কিনা তা অবাক করে:

  • শারীরিকভাবে মেশিনটি ব্যবহার করার সময় লগইন করতে ব্যবহৃত ব্যবহারকারীর নাম থেকে আলাদা একটি পাসওয়ার্ড। এইভাবে এটি একটি এলোমেলোভাবে উত্পন্ন স্ট্রিংটি ব্যবহার করতে পারে যা আমি একবার ডায়াল আউট কম্পিউটার থেকে ইনপুট করতে পারি।

  • 2 ফ্যাক্টর প্রমাণীকরণ।

  • কেবল একই ল্যানে মেশিনে সমস্ত আগত সংযোগ সীমাবদ্ধ করুন।

3 টি কম্পিউটার থাকবে যা হোস্টের সাথে সংযুক্ত হবে, বেশিরভাগ ম্যাক।

এইগুলি কি কোনও / কি সম্ভব এবং আমার কাছে দেখার মতো আরও কিছু জিনিস রয়েছে?


আপনি কি কেবল কোনও স্থানীয় ল্যানের মাধ্যমে, বা পাবলিক ইন্টারনেটের সাথে এটি সংযোগ করছেন?
টুইস্টি ইম্পারসনেটর

@TwistyImpersonator স্থানীয় LAN এর বেশি হতে হবে, যদিও জায়গায় VPN এর একটি ডায়াল হতে হবে
স্যাম

এই হোস্টটিতে কত কম্পিউটারের দূরবর্তী অ্যাক্সেসের প্রয়োজন? সংযুক্ত কম্পিউটারের আইপি ঠিকানাগুলি কি পরিবর্তন হয়?
টুইস্টি ইম্পারসনেটর

@ তুইস্টিআইম্পারসোনেটর এটি 3 টি কম্পিউটার হবে যা হোস্টের সাথে সংযুক্ত হবে, আমি রাউটারের আইপি বাইন্ডিংগুলিতে আগত 3 কম্পিউটার ম্যাক দিতে পারব যাতে তারা পরিবর্তন করতে পারে না, আপনি কি সুরক্ষার অতিরিক্ত অংশ হিসাবে আইপি ভিত্তিক প্রমাণীকরণের লাইনকে আরও বেশি ভাবেন?
সাম

1
আইপিসেক কম্পিউটারগুলি প্রমাণীকরণকারী শংসাপত্রগুলি ব্যবহার করতে পারে। এমনকি যদি আক্রমণকারী সঠিক আইপি থেকে সংযোগ দেয় তবে শংসাপত্র ছাড়াই সংযোগটি সম্পন্ন করা যায় না।
টুইস্টি ইম্পারসনেটর

উত্তর:


4

সিস্টেম প্রশাসকদের জন্য সুরক্ষিত দূরবর্তী ডেস্কটপ (আরডিপি) নিবন্ধটি এই টিপসগুলি তালিকাভুক্ত করে:

  • শক্ত পাসওয়ার্ড ব্যবহার করুন
  • আপনার সফ্টওয়্যার আপডেট করুন
  • ফায়ারওয়াল ব্যবহার করে অ্যাক্সেসকে সীমাবদ্ধ করুন
  • নেটওয়ার্ক স্তর প্রমাণীকরণ সক্ষম করুন (উইন্ডোজ 10 এর জন্য ডিফল্টরূপে সক্ষম)
  • রিমোট ডেস্কটপ ব্যবহার করে লগ ইন করতে পারে এমন ব্যবহারকারীদের সীমাবদ্ধ করুন (ডিফল্ট সব প্রশাসকই থাকে)
  • একটি অ্যাকাউন্ট লকআউট নীতি সেট করুন (বেশ কয়েকটি ভুল অনুমানের পরে একটি অ্যাকাউন্ট লক করুন)
  • রিমোট ডেস্কটপের জন্য শ্রবণ পোর্টটি পরিবর্তন করুন (ডিফল্টটি টিসিপি 3389 হয়)
  • অন্যান্য পণ্য যেমন ভিএনসি বা পিসিএই কোথাও ব্যবহার করবেন না

দ্বি-গুণক প্রমাণীকরণ সম্পর্কে আপনার প্রশ্নের জন্য, আমি বিশ্বাস করি না যে এটি উইন্ডোজ 10 প্রোতে রয়েছে, কেবল উইন্ডোজ সার্ভারে।

গুগল প্রমাণীকরণকারীর 5 টি সেরা বিকল্প নিবন্ধটি এমন ছয়টি পণ্য তালিকাভুক্ত করেছে যা একটি নিখরচায় পরিকল্পনা রয়েছে (তবে অর্থ প্রদানের জন্যও রয়েছে): গুগল প্রমাণীকরণকারী, অথি, ডুও, এইচডিই ওটিপি, প্রমাণীকরণকারী প্লাস, সাউন্ড লগইন প্রমাণীকরণকারী। আমি কখনই এ জাতীয় পণ্য ব্যবহার করি নি, তাই আপনার জন্য এগুলি কতটা দরকারী তা জানেন না।


ধন্যবাদ @harrymc আপনি কি জানেন যে প্রাথমিক দূরবর্তী ডেস্কটপ লগইনের অংশ হিসাবে কোনও পাসওয়ার্ড বা কী সেট করা সম্ভব হয়েছে, সুতরাং আমরা স্মরণীয় সুরক্ষিত পাসওয়ার্ডের মধ্যে সীমাবদ্ধ থাকব না যা ব্যবহারকারীরা লগ ইন করতে ব্যবহার করবে, বরং 60 অক্ষরটি এলোমেলোভাবে ব্যবহার করতে পারত ব্যবহারকারীদের পাসওয়ার্ডের পরিপূরক হিসাবে পূর্ব ভাগ করা কী হিসাবে স্ট্রিং
সেম

উইন্ডোজ 10 এর ভার্চুয়াল স্মার্ট কার্ডগুলির নতুন প্রযুক্তি রয়েছে যা কার্যত দ্বি-গুণক প্রমাণীকরণ সরবরাহ করে। ভার্চুয়াল স্মার্ট কার্ডগুলি দিয়ে শুরু করুন দেখুন : ওয়াকথ্রু গাইড । আমি এটি কখনও ব্যবহার করি নি তাই প্রশ্নের উত্তর দিতে পারে না।
harrymc

ভার্চুয়াল স্মার্ট কার্ডগুলির জন্য টিপিএম 1.2 প্রয়োজন। আপনার সমস্ত কম্পিউটারে কি এই @ স্যাম রয়েছে?
প্যাট্রিকএন

1
@PatrikN আমি এটা সন্দেহ, ক্লায়েন্ট মেশিন Macs- এর বেশিরভাগই
স্যাম

দুর্ভাগ্যক্রমে এটিই আমি জানি কেবলমাত্র বিনামূল্যে পণ্য। দ্বি-গুণক প্রমাণীকরণের জন্য গুগল করে বাণিজ্যিক পণ্যগুলি পাওয়া যাবে।
harrymc

3

বর্তমান তথ্যের ভিত্তিতে, আমার প্রস্তাবনাগুলি হ'ল:

  • একটি এসএসএইচ টানেল স্থাপন করে আপনি প্রমাণীকরণের একটি অতিরিক্ত স্তর পাবেন, যেখানে আপনি লগইন করতে অন্য ব্যবহারকারীর নাম / পাসওয়ার্ড বা পাবলিক কী প্রমাণীকরণ ব্যবহার করতে পারেন । আপনি যেমন চান ঠিক তেমন আলাদা পাসওয়ার্ড দিয়েও অস্পষ্টতা সক্ষম করতে পারেন । ট্র্যাফিক পর্যবেক্ষণ করা কারও পক্ষে এটি SSH - এমনকি সংযোগ স্থাপনের জন্য, তাদের উভয়েরই সেই পাসওয়ার্ড এবং যে কোনও এসএসএইচ লগইন আপনি সেটআপ করেছেন তা উভয়েরই দরকার That এটি যোগ করুন, এটি আরডিপি ট্র্যাফিক টানেল করছে, এটি এনক্রিপ্ট করাও রয়েছে।

    উপর উইন্ডোজ মেশিন আপনি পারেন ইনস্টল Bitvise SSH সার্ভারের এবং এর Macs- এর , আপনি পারবেনজিংলাউয়ের কিছু প্যাথ সহ অন্তর্নির্মিত ওপেনএসএসএইচকে অস্পষ্ট সমর্থন যোগ করুন
  • 2 এফএ সম্ভব হতে পারে তবে এটি সহজ বা বিনামূল্যে হবে না। বিল্ট-ইন Smart Card Logon প্রয়োজন উইন্ডোজ সক্রিয় ডিরেক্টরি ডোমেনে , কিন্তু অনুষঙ্গহীন কম্পিউটারের জন্য 3 য় পক্ষের সমাধান হয়। EIDAuthenticate RDP সমর্থন করে এবং এটি একটি মুক্ত ওপেন সোর্স সংস্করণে উপলব্ধ, তবে কেবল হোম সংস্করণগুলির জন্য (তবুও, তারা একটি "হোম ব্যবহারের প্রোগ্রাম" সম্পর্কে চিন্তাভাবনা করছে , তাই তাদের সাথে যোগাযোগ করা এই চিন্তাভাবনার গতি বাড়িয়ে দিতে পারে)। তবে আপনার ক্ষেত্রে এটি যথেষ্ট নাও হতে পারে, কারণ এটি কেবল উইন্ডোজের জন্য এবং আপনি একটি ম্যাক থেকে সংযুক্ত হন।
  • ল্যানে ইনকামিং সংযোগগুলি সীমাবদ্ধ করা, উইন্ডোজ ফায়ারওয়ালে সহজেই করা যায় ।
  • শক্তিশালী পাসওয়ার্ড এবং সমস্ত কম্পিউটার আপডেট করার মতো সাধারণ জিনিস অবশ্যই করা উচিত। আমি পৃথক ব্যবহারকারী এবং প্রশাসক অ্যাকাউন্ট রাখার প্রস্তাব দিই , এবং কেবলমাত্র (অনিবদ্ধ) ব্যবহারকারী অ্যাকাউন্টগুলিকে আরডিপির মাধ্যমে লগ ইন করার অনুমতি দিই , যাতে প্রশাসক অ্যাকাউন্টটি স্থানীয়ভাবে লগইন করতে হয়।
  • পরের জিনিসটি আমি লক্ষ্য করব, এটি সংযোগকারী ক্লায়েন্টদের সুরক্ষা হবে , কারণ যদি তারা আপস করা হয় তবে আপনার সেট আপ করা সমস্ত জিনিস খুব বেশি সহায়তা করে না । তবে আমি সাধারণ সুরক্ষা নীতিগুলি সম্পর্কে কথা বলছি, তাই আমি সেগুলির সাথে বিশদে যাব না।

1

আরসিডিএভস থেকে ওয়েবএডিএম দিয়ে এই দৃশ্যটি সম্ভব যা 40 জন ব্যবহারকারী পর্যন্ত বিনামূল্যে।

  1. শারীরিকভাবে মেশিনটি ব্যবহার করার সময় লগইন করতে ব্যবহৃত ব্যবহারকারীর নাম থেকে আলাদা একটি পাসওয়ার্ড।

হ্যাঁ, ওয়েবএডিএম এলডিএপি, অ্যাক্টিভ ডিরেক্টরি ব্যবহার করছে ... যাতে আপনি বিভিন্ন ব্যবহারকারীর নাম / পাসওয়ার্ড ব্যবহার করতে পারেন।

  1. দুই ফ্যাক্টর প্রমাণীকরণ.

হ্যাঁ, আপনি হার্ডওয়ার / সফটওয়্যার টোকেন, ইমেল এবং এসএমএসের সাথে টুপি, হটপি ব্যবহার করতে পারেন।

  1. কেবল একই ল্যানে মেশিনে সমস্ত আগত সংযোগ সীমাবদ্ধ করুন।

হ্যাঁ, আপনি ক্লায়েন্ট নীতি নির্ধারণ করতে পারেন।

  1. 3 টি কম্পিউটার থাকবে যা হোস্টের সাথে সংযুক্ত হবে, বেশিরভাগ ম্যাক।

হ্যাঁ, আপনি অফলাইনে প্রমাণীকরণের সাথে উইন্ডোজ বা ওএসএক্সের জন্য শংসাপত্র সরবরাহকারী প্লাগইন ইনস্টল করতে পারেন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.