IPSec - огромная весЧь.

Тебе шифрование, чтоль надо на 3389? Дык RDP сам поддерживает шифрование...

Или тебе просто ограничения на порты наложить?
-----------------------------
плохо читал - усе возможно.

decaml aleks2IPSec - огромная весЧь.
Тебе шифрование, чтоль надо на 3389? Дык RDP сам поддерживает шифрование...


1) И где его "ключи" этого шифрования?
Имя пользователя и пароль администратора?

Мне 2) хотелось бы добавить себе уверенности , что по ремоуту никто не может подключиться к "рабочему столу".

При этом веб-сервер должен быть открыт для юзеров.
Посоветуйте плиз подход.

3) Сделать такое имя администратора: kHTX*7K#Uea6UVQyH5nRLtQhnxfrvc
и его пароль: pE7k2NLpuFtyy#CBufp3*vt5btL#$3

это единственный вариант защиты ремоута или еще какие есть подходы?

1) Такие протоколы обычно используют несимметричные методы шифрования. Ключ шифрования сессии RDP генерируется динамически клиентом и сервером для каждой сессии заново. И, вроде как, динамически меняется в процессе, если сеанс затянулся... Шифрование канала защищает не от несанкционированного подключения, а от ПОДСЛУШИВАНИЯ канала.

2) Купи страховой полис. Можно дополнить VPN сервером - разрешив подключение RDP только с VPN - соединения... но... станет ли защита надежнее, если вместо одного пароля надо вводить два?

3) Это единственная надежная защита "голого RDP".

decaml MZH
Отключи Remote Desktop на сервере-никто не подключится.

как же самому админить тогда веб-сервер?

IPsec - такая продвинутая вроде технология - 1) задал "разделяемый секрет" на подключение.
Мне только непонятно - веб-сервер тоже отрубится от этого что-ли? :-)))

Что "Remout подключения" по 3389 порту, что "Remout подключения" по 80 порту - если IPSec включить - он загасит все либо "ремоут подключения", либо "локальные".

Получается IPsec в пролете - вообще не в тему?
Хотя бы строго для одного IP адреса локального можно включить IPsec?
По одному IP бы шел веб-обмен, а по другому IPsec-нуму Rdp.

(к слову 2) где задаются уровни "High, Medium" ... для "RDP протокола"?)

1) Это чем-то отличается от пароля?
2) На клиенте (желаемый) и на сервере (минимально допустимый) в свойствах подключения.

decaml MZH decamlкак же самому админить тогда веб-сервер?
Если сервер удаленный, то прекрасно помогает включение встроенного файрвола и фильтрация подключений по источнику для каждого порта.

такую поделку пока и сделал
только с динамического ip источник подключений все-время разный - задал диапазон ip

1) вообще меня устраивает очень сложное имя "администратора" - только как его самому вводить то, чтобы не стать инвалидом?
напрашивается логинивание кнопкой - вот видим экран - требует имя/пароль - а кнопка где и куда? :-) что за девайс невиданный должен быть?

Имена пользователей системы авторизации Windows не являются секретом. Каждый пользователь (а без спец. усилий и аноним) имеет доступ к списку имен пользователей компьютера. И всякие "мохнатые имена" только помогают вычислить: под кем надо ломиться.
----------------------------
Секретным является ТОЛЬКО пароль.