web-dev-qa-db-ja.com

デスクトップをサーバーにリモート接続できるコンピューターを制限する

リモートデスクトップ 接続によってアクセスされる Windows Server 20 コンピューターがあります。サーバーにアクセスするために知っておく必要があるのは、コンピューターのIPアドレスだけです。

Windowsサーバーコンピューターにアクセスできるコンピューターを、許可されたコンピューターのみに制限したいと思います。許可されたコンピューターには静的IPアドレスがないため、IPアドレスに基づいて制限することはできません。 MACアドレス に基づいて制限できますか? TeamViewerLogMeIn などのサードパーティソリューションを使用してもかまいません。

どうすればこの問題を解決できますか?

1
stirredo

TeamViewer で可能な解決策を見つけました。 TeamViewerは、インストールされているコンピュータの一意のパートナーIDを作成します。許可されたパートナーIDのみがコンピューターにアクセスできるようにするオプションがあります。問題が解決しました。

1
stirredo

ほとんどすべての場合、マシン制御を要求する代わりに、ユーザー+グループ[および|または]証明書認証を使用することになります。 cmbrntが言及した内容を明確にするために: LogMeIn 、これは依然としてユーザーベースの認証構成であり、接続を試行できるクライアントコンピューターを指定していません。

制御するホストにLogMeInソフトウェアをインストールしてから、LogMeIn Webサイト(ユーザー認証)にログインして、どこからでもそのホストへの接続を試行します。その後、そのマシン(またはドメイン)に対して再度認証します。

したがって、LogMeInRDPに穴を開けるよりも安全です。これは、公開されたサービスがなく、両方の接続(クライアント<-> LogMeIn <-> Host)はセキュリティで保護された接続を介しています。必要に応じて使用できる3番目の「ホストパスワード」オプション、IIRCもあります。

LogMeInには、接続の試行元をフィルタリングする機能もあると思いますが、IPアドレスによるフィルタリングであるため、おっしゃるように機能しません。

1
Dave

Logmeinはあなたに代わってこれを行うことができるので、あなたはそこであなた自身の質問に答えました。基本的に、サーバーにクライアントをインストールし、そのクライアントを介してlogmeinにログインします。これにより、安全なパスワードが必要になるため、アクセスできるコンピューターが制限されます。それには、logmeinを信頼する必要がありますが、それができると確信しています。

MACアドレスに基づいてルールを設定できる高度なファイアウォールを構成することを除いて、一般的なRDPを使用してこれを行う方法がわかりません。ただし、ルーターを通過するときに送信元MACアドレスがTCP/IPパケットから削除されるため、接続元のコンピューターをサーバーと同じスイッチに配置する必要があります。

0
cmbrnt

通常、RDPでは、これをマシンごとではなくユーザーごとに行います。リモートデスクトップ接続を許可するようにサーバーを構成すると、デフォルトでは、そのコンピューターのAd​​ministratorsグループのみがサーバーにアクセスできます。許可するユーザーまたはグループを具体的に追加する必要があります。

0
Joel Coehoorn